Minecraft.exe TROJ_GEN.R047C0FH213 ウイルスバスター誤検出


セキュリティ会社トレンドマイクロが提供してるセキュリティソフト「ウイルスバスター クラウド」(海外名:Trend Micro Titanium)が、サンドボックスゲームマインクラフトの実行ファイルを不正プログラムとして誤検出してしまうみたい。

8月3日らへんから? Twitterでも消されたと、つぶやき報告がけっこうある感じね。

Minecraft.exe – TROJ_GEN.R047C0FH213

  • 特定のファイルをウイルス検索から除外するには | サポート Q&A:トレンドマイクロ
    > esupport.trendmicro.com/solution/ja-jp/1314171.aspx
  • 特定のファイルやフォルダを検索対象から除外するには | サポート Q&A:トレンドマイクロ
    > esupport.trendmicro.com/solution/ja-jp/1312206.aspx

Google Support has sent you a notification‏ スパムメール Google翻訳悪用


こんな英語のメールが・・・!!!

FAKE Google Support Spam Mail - Google Support has sent you a notification‏

タイトル:
Google Support has sent you a notification‏
送り主:
Google Support (****3@srv107.tophost.ch)

(メールアドレス)

Google Support has sent you a notification

7/30/2013
http://www.google.com/%74r%61ns%6c%61t%65?hl=en&u=kit%74y%73%70layda%74e%73.c%6f%6d/%79%75%63a%74an.%68%74%6d%6c

[View notifications]

This notification was sent to (メールアドレス).
Don’t want occasional updates about Google activity? Change what email Google sends you.

それも迷惑メールフォルダの振り分けではなく、普通の受信フォルダだったもんだから

Googleからの何かしらの通知と思い込んで開く
 ↓
メール本文のパッと見でもGoogleからの通知と思い込みつつ、『なんじゃこれ???』の状態
 ↓
送り主がスイス(.ch)になってて初めてスパムメールと気付く

srv107.tophost.ch (194.150.248.10)

メール内のURL文字列、[View notifications]ボタン、「Change」の計3ヶ所が誘導リンクになってて、飛び先として翻訳サイトGoogle翻訳を噛ませてるので、スパムフィルタをうまく回避されたんね。

http://www.google.com/translate?hl=en&u=[誘導させるURLアドレス]

Googleを名乗って、表面上はGoogle内のページに誘導するってもんだから上手い手口ですな。

んで、誘導されて行き着く先はインチキ薬局サイト。。。

U.S. Drugs Ltd Pharmacy Site

フィッシング詐欺「スクエニメンバーズ パスワード再設定手続きのご案内‏」メール


スクエア・エニックスを騙ったフィッシング詐欺目的の偽メールが再び着弾!

スクエニの会員とかまったく関係なしに、”下手な鉄砲も数打ちゃ当たる”の理論で無作為にばら撒かれてます。

タイトル:
[スクエニ メンバーズ]パスワード再設定手続きのご案内‏
送信元:
ArenaNet (support@guildwars2.com)

◆既に報道されておりますが、オンラインサービスを提供している他社において 数千万件規模でID、パスワードやクレジット情報などの会員情報が不正アクセスの影響により 流失したとの情報を確認いたしました。

◆本人確認のための認証メールを送信いたします。 メールを受信して、記載されているURLをクリックしてください。 :
 
https://secure.square-enix.com/account/app/svc/Login?cont=account

メールの送信元は偽装されてて、ソースを確認すると実際は

42.96.165.117 China

クリックを誘うURLアドレスは、HTML形式メールってことで偽装されてて実際は

http://secure.square-enix.com.smxl.pw/app/svc/login.html

クリップボード1

ユーザーID(メールアドレス)パスワードの組み合わせを入力して送信するよう誘導する英語表記なフィッシング詐欺ページ!

ドメインの国別割り当て.pwはパラオ。。。

スクエニのアカウントを狙ってるというより、複数のウェブサービスで同じパスワードを使い回すダメユーザーが引っかかれば儲けもの♪

スクエニ メンバーズ検証登録のご案内‏ 事務局 フィッシング詐欺メール


の続きで、無作為にばら撒かれてるゲーム会社スクエア・エニックスを装ったフィッシング詐欺メールが着弾すーる。

タイトル
[スクエニ メンバーズ]検証登録のご案内‏
差出人
autoinfo_jp@account.square-enix.com

接続環境が変化した、もしくは不審なアクセスを検知したためログインが

制限されました。登録メールアドレスへ、ログイン制限解除の案内を送信

いたしましたので、ご確認ください。

ログイン制限の解除方法について以下のURLをご登録ください。

https://secure.square-enix.com/account/app/svc/Login?cont=account

—————————————————————-

※本メールはシステムより自動送信されています。 本メールに返信されましても、返答できませんのでご了承ください。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━…‥・
【スクエニ メンバーズ】 – ゲームファンのためのコミュニティ –              
http://member.jp.square-enix.com/
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━…‥・
発行元:株式会社スクウェア・エニックス
Copyright (C) 2013 SQUARE ENIX CO., LTD. All Rights Reserved.[転載・転送・複写禁止]

この手のニセメールは、攻撃者が日本語に堪能でないことから、崩壊した愉快な日本語が登場するはずだけど、ほぼないですなぁ。

これは、実際にスクエニにログインする時に表示されることがある日本語の警告文章をそのまま使ってるみたいね・・・。
> http://lodestone.finalfantasyxiv.com/rc/diary/entry?e=143954

飛び先のURLアドレスは偽装されてる

HTMLメールなので、メール本文からうっかりクリックさせる飛び先は偽装されてて、URLアドレス「se-admin.asia」なるところへ誘導されます。

https://secure.square-enix.com/account/app/svc/Login?cont=account
 ↓実際は
http://support.se-admin.asia/account/app/svc/login.html?cont=account

wei yun 70.39.119.205 se-admin.asia tianhequzhongshanlu28hao +86.13851002234 weiyun1@live.com

ニセモノなフィッシング詐欺ページは、英語表記でURLアドレスバーのところを見れば丸分かり!

スクエニのデザインを流用して作られてる英語表記のフィッシン詐欺ページ!

正真正銘ホンモノの「スクウェア・エニックス アカウント管理システム」のページは、ブラウザの鍵マークが当然あります。

スクエニのホンモノのページはVeriSign SSLサイト認証済みの鍵マークでばっちり本物です!

覚えられないという理由から、いろんなWebサービスで同じパスワードを使いまわしてませんか? 地獄を見ますよ。

最近でも、流出済みパスワードのセットを使って、任天堂の会員ページヘログイン試行しまくる攻撃が行われ、約2万3千件が突破成功ってな事件が。。。

スクウェアエニックスアカウント安全確認‏メール? フィッシング詐欺!


ゲーム会社スクウェア・エニックスを名乗るフィッシング詐欺目的の偽メールがぁ。。。

メールタイトル
 スクウェア·エニックスアカウントーー安全確認‏
差出人
 autoinfo_jp (autoinfo_jp@account.square-enix.com)

お客様

株式会社营团社サービスシステムをご利用いただき、ありがとうございます。

システムはお客様のアカウントが異常にログインされたことを感知しました。

下記のログイン時間を照らし合せてご本人様によるログインであるかどうかご確認お願いします。

ログイン地点 ログインIP ログイン時間

大阪 ***.***.***.*** 2013-06-28 **:**

ご本人によるログインでなければ、アカウントの安全に問題があると考えられます。

以下のURLをクリックし、画面の案内にそってパスワードの再設定を行ってアカウントを保護してください。

>https://secure.square-enix.com/account/app/svc/Login?cont=account

(上記URLをクリックしてもページが開かないときはURLをコピーし、ご利用のウェブブラウザーのアドレス入力欄に貼り付けてお試しください)

もし、ご本人によるログインでしたら、お手数ですが本メールの破棄をお願いいたします。

ご意見やご要望

スクウェア·エニックス会社

2013年07月01日

偽メールのソースから分かること。。。

メールの差出人は、スクウェア・エニックスから送信されてるかのように偽装されてます。

account.square-enix.com
 ↓ 実際は
vy.org (115.100.249.148)

送信に使われたメールソフトは、中国Tencentが提供してるものでした。

Foxmail 6, 13, 102, 15 [cn]

偽メールの本文から分かること。。。

『株式会社营团社サービスシステム』のところに中国語が登場してます。

HTML形式のメールなので、表面上のURLと実際に誘導してるURLが違ってます。

スクエア・エニックスを装ったフィッシング詐欺メール HTML形式で誘導するURLアドレスを偽装してる

https://secure.square-enix.com/account/app/svc/Login?cont=account
 ↓ 実際は
http://www.square-enixx.cc/account/app/svc/Login.html?cont=account

「x」という文字が1文字多かったり、誰でも取得できる「.cc」はオーストラリア領ココス諸島のものです。

http://ja.wikipedia.org/wiki/.cc

サーバーは日本国内に存在し、IPアドレスは 122.131.246.106 (FL1-122-131-246-106.stm.mesh.ad.jp)、square-enixx.cc ドメイン取得者は中国人と思しき・・・ ni baoshan zhongshanlu168hao anshanshi liaoningsheng china 114200 86-745-2222154

フィッシング詐欺ページから分かること。。。

ホンモノのスクエア・エニックスのデザインを流用した英語表記の偽ページで、URLアドレスは「https://~」となっておらず、お馴染みのブラウザの鍵マークも当然ありません。

スクエア・エニックスのアカウントページを装ったフィッシング詐欺目的の偽ページ!!!

ユーザーID(メールアドレス)とパスワードの2つの組み合わせを入力して送信するよう求めてます。

ってことで・・・

【1】 スクエア・エニックスのアカウント情報を盗みとる (オンラインゲームのアカウント乗っ取り)

【2】 複数のWebサービスで同じパスワードを使い回すダメユーザーが引っかかれば儲けもの

フォロー

新しい投稿をメールで受信しましょう。