月別アーカイブ: 3月 2013

対策OK? AVASoft Antivirusウイルス感染 原因経路は一般サイトでドライブバイダウンロード攻撃


トロイの木馬ウイルス「AVASoft Antivirus Professional」「AVASoft Professional Antivirus」「AVASoftプロフェッショナル」「AVASoftアンチウイルス」が勝手に強制インストール感染となる被害が起こってますー?

これはセキュリティ対策ソフトを装ったコンピュータウイルスで、デタラメなウイルス感染警告を提示してビックリさせて、解消するための有償版をクレジットカードで今すぐ買うよう脅迫してきますよ!

マイクロソフト Malware Protection Center
http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Disk+Antivirus+Professional

「AVASoft」ウイルスの感染経路は、第三者に改ざんされウイルス散布サイト化してしまった普通の一般サイトが多数を占めてます。なので、そのサイトで扱われてる内容なんて別に問いません(エッチなコンテンツとかジャンルはどうでもいい)。

  • サイト運営者のパソコンがウイルスに感染してFTPソフトからアカウント情報を抜き取られた!
  • サーバーに設置してあった何かしらWebアプリの脆弱性を悪用されて乗っ取られた!

ちなみに、感染してしまう条件として、下の4系統のソフトが仮にも旧バージョンのままなら、導入されてるであろう正規セキュリティソフトを華麗に素通りし「AVASoft」ウイルスが有無を言わさずババーンと感染です。 🙂

  1. Java
  2. Adobe Reader
  3. Flash Player
  4. Windows Update

この攻撃手法は、セキュリティ用語でドライブバイ・ダウンロード攻撃といいます。

この4系統をちゃんと最新版にしてあるか、あるいはそもそもインストールされてないなら、「AVASoft」ウイルスが感染してしまう経路が存在しない状態なので、別に被害は起こらんワケです。

環境省が運営するサイト改ざん! ウイルス感染被害にあう条件と対策は?


環境省が運営してる「CO2 みえ~るツール」なるホームページ(mieeeru .go.jp)が2013年3月に第三者に改ざんされてしまい、アクセスしてきたユーザーさんにコンピュータウイルスをまいてたそうです。 悲しい

環境省が運営のホームページが改ざん (NHK)

環境省によりますと15日、ホームページなどの監視を行っているNGOから指摘を受け、調べたところ、ホームページを管理するサーバー上のプログラムが改ざんされていたということです。
これまでの調査でホームページは今月3日に外部から侵入されていた形跡があり、このページにアクセスすると悪質なウイルスに感染する別のページに誘導され、パソコン内の個人のデータなどが盗まれる可能性があったということです。

ウイルス感染被害に巻き込まれた可能性があるユーザーさんは、下の4条件のどれかに当てはまったWindowsパソコンに限られます。いちおうMac、Linux、スマホ、ガラケー、ゲーム機らへんは今回は関係ないです。

  1. Java を旧バージョンのまま更新しないで放置してる
  2. Adobe Reader を旧バージョンのまま更新しないで放置してる
  3. Flash Player を旧バージョンのまま更新しないで放置してる
  4. Windows Update が行われてない ← いちおう今回はこの4番は関係ない

ちなみに、この条件に当てはまった場合に感染PC上でひっそりと強制的に起動してしまうウイルスはWin32/Fareit(?)の亜種です。

主な挙動は2つあって、ブラウザやFTPソフトの設定データから機密情報を盗み取ること、そして何かしら別のウイルスをテキト~にダウンロードしてきて起動することです。

https://www.virustotal.com/ja/file/a1bf517e91726f5e5dd57640b35e7bd4fc203ad843bbc7cdc472004a8d644933/analysis/1363442021/

このウイルス検体↑は、あくまでこの記事を書いてる直近のものです。

当然ながら、なるたけ検出されないよう それなりの頻度で何回もドンドン差しかえられてきてるはずで、対策ソフトの対応(ウイルス定義データ上の)は必死に頑張って頑張って後追いしてます。

テキトーQ&A集

Q. 日本の公的機関を狙った高度なサイバー攻撃ですか?

A. いいえ、違います。

多くのWindowsユーザーにウイルスを配信する目的で、ウイルス攻撃者側が一般サイトを改ざんしてるだけです。

これは世界中で日常的に毎日のように起こってる脅威で、旧ソ連圏とかで活動してる野良ハッカーたちが行なってるものです。ちなみに、中国のハッカー部隊とかは今回は別に関係ないです。

Q. 改ざんされてる一般サイトはどんな状態に?

A. 具体的にページに挿入された不正なコードの現物は、下のようなインラインフレームタグです。

改ざんされてる一般サイトのHTML上に挿入された不正なIFRAME(インラインフレーム)タグ! ウイルスサイトを強制的に読み込んでるぅ!

ブラウザ内部でウイルスサイトを強制的に読み込んでるんですが、ユーザーには何か目に見えて変化があるワケでもなく気づきません。

Q. ウイルス感染の影響がないWindowsパソコンは?

A. 上で挙げてる感染条件の逆をやっておいてあれば、何も問題は起こらなくて確実に安全でした。

  1. Java を最新版に更新済みである
    Java をWindowsパソコンから削除してある、でもOK)
  2. Adobe Reader を最新版に更新済みである
  3. Flash Player を最新版に更新済みである
  4. Windows Update はちゃんと行われてる

そういえば、偽セキュリティソフトとして知られるDisk Antivirus Professionalウイルス感染被害! 原因経路と対策は?とまったく同じですネェ! 🙂

チェスCAPTCHAでチェックメイトすると投稿できる掲示板


スパム投稿防止目的で、読むに耐えない”ぐにゃんぐにゃん”の文字とか読み取って打ち込んで認証するパターンが多いCAPTCHA。

無料オンラインチェスサイトlichess.org内の掲示板に用意されてるのはチェスCAPTCHA

chess CAPTCHA

ミスるとダメ! 😦

chess CAPTCHA checkmate!

キングを取るとチェックメイト! 😉

Chess CAPTCHA – a serious defence against spammers? (Sophos Naked Security)

Googleが検索結果から排除した不正スパムサイト公開 ウイルスページに注意! (SEOポイズニング)


検索エンジンGoogleが「検索の仕組み」というコンテンツを公開しました。

その中で、不正なことをしてるスパムサイトと判定して検索結果から排除した実例「実際のスパムのスクリーンショット」(サイトのスクリーンショット画像&URLアドレス)ってのを晒し者として50件ほど随時公開するようになったそうで。

http://www.google.com/intl/ja/insidesearch/howsearchworks/fighting-spam.html
http://howsearchworks.appspot.com/spam-screenshots?hl=ja

毎日、数百万件に及ぶ無用なスパムページが作成されています。Google では、コンピュータのアルゴリズムと手動による対策を組み合わせて、スパムを排除しています。

これらのページは「純粋なスパム」の例を示しています。ここでは、自動生成された意味不明の文字列、クローキング、他のウェブサイトからのコンテンツのスクレイピングなど、攻撃性の高いスパム技術が使用されています。

どんな感じで不正なことをやるとGoogle検索から「ゴラァ!!!」されるのか勉強しよっ!と思って、公開されてるURLアドレスをブラウザのアドレスバーにコピペし、実際にスパムサイトにアクセスする際はちょいと注意が必要・・・。

ってのも、アクセスしてきたWindowsユーザーにウイルス(マルウェア)を配信する目的で作られたスパムサイトも見られるからです。

SEOポイズニングなんて言われる手法で、検索エンジン経由で不正に上位表示させたウイルスサイトを踏ませるテクニックですな。スクリーンショットのパッと見ではさすがに見分けることはできません。

サイト閲覧でウイルス強制感染(ドライブバイダウンロード攻撃)となる条件

  1. Java が最新版に更新されてない
    (Javaをアンインストールしてない)
  2. Adobe Reader が最新版に更新されてない
  3. Flash Player が最新版に更新されてない
  4. Windows Update が行われてない

どれか1つでも当てはまってしまったら、セキュリティソフトをちゃんとインストールしてあるにも関わらずウイルスが問答無用で強制インストールされます。

インターネットエクスプローラ(IE Internet Explorer)のバージョンを確認する方法?


Windowsに最初から付属してるマイクロソフトのブラウザ「Internet Explorer」(インターネットエクスプローラ)、通称「IE」のバージョンを確認するには?

IEブラウザのメニューの[ヘルプ(H)]→[バージョン情報(A)]をクリック!
or
IEブラウザ右端上部にあるツールボタン(歯車)→[バージョン情報(A)]をクリック!

ちなみに、この記事を書いてる時点(2013年3月)でのIEの最新バージョンは下のとうりでーす。

Windows XPはIE8、Windows VistaはIE9で打ち止めとなってて、それ以降の上位バージョンは残念ながら導入できません。