皆様、こんばんは。
梅雨明けが待ち遠しい6月最終の木曜日、いかがお過ごしでしょうか?
それでは今回の投稿にまいりましょう。
【スポンサーリンク】
先日の投稿に関する謝辞
【目次】
さて今回の投稿は、先日に投稿させていただいた、Adobe Flash Playerのフィッシングサイトにリダイレクトされる症状に関する記事の続編を投稿してまいりたいと思います。
>【注意喚起】 Yahooリスティング広告サーバーが改ざんされ、ニコニコ動画を視聴するとAdobe Flash Playerのフィッシングサイトにリダイレクトされる症状について
それではまず今回の投稿を行う前に、上記の投稿に関してご覧いただいた皆様に、この場をお借りしてお礼を申し上げたいと思います。
上記の投稿の中においてマルウェア検体の送信先として、Insight Frameworks社の送信フォーラムを記載しましたが、上記の記事をご覧いただいた多くの皆様より、Insight Frameworks社の方にマルウェア検体が送信されてきたことを、Insight Frameworks社の代表であるトライデントさんから伺っております。
本当にありがとうざいました。
またトライデントさんより、マルウェア検体の解析結果を教えていただいております。
この結果を見る限り、偽のAdobe Flash Playerのダウンロードページからダウンロードできるファイルを実行しますと、複数のPUP系のプログラムがインストールされるようですね。
なお上記の投稿の中で危惧した真正のマルウェア感染については、今のところ兆候が見受けられていませんから、安心してよいかと思います。
【スポンサーリンク】
ニコニコ動画だけではない!Media Playerのフィッシングサイトにリダイレクトされる症状
それではいよいよ本題に入りたいと思います。
まずは以下の知恵袋のご質問をご覧ください。
>「偽FlashPlayer」の兄弟、 現役の「偽 Media Player 」更新詐欺サイト発見!
「偽FlashPlayer」の兄弟、 現役の「偽 Media Player 」更新詐欺サイト発見!
手口などは「偽FlashPlayer」と同じ。
「警告! Media Playerを早急に更新する必要があります」と表示される。 (「偽FlashPlayer」の場合、「このページは表示できません!Flash Playerの最新バージョンへのアップデート!」と表示)
「OK」? 「今すぐMedia Playerをアップグレード(推薦)」なる偽アップデート画面が登場する。 「偽FlashPlayer」と同じように「Setup.exe」が落とせます。ゲットするなら今! 「偽 Media Player 」の方はまだ未体験なので、同じ挙動をするかどうかは不明。(デジタル署名はAir Software。「偽FlashPlayer」の場合はOUTBROWSE)
調べてみると、この「偽 Media Player 」画面が出るのは以前よりあったようです。 「偽FlashPlayer」の場合、ニコニコ動画サイトにて表示されたので話題になっただけ。
どこでこの偽画面に遭遇したのか、それが悩ましい。
…”アダ被”でした… 誘導先がカジノのままか確認しようと思ってアクセスすると、 McAfee SiteAdvisorが遮断してくる。 「なんぞ?」と思いながら強行アクセスしたら、「偽 Media Player 」更新詐欺サイトが飛び出したわけ。ご注意願います。
この質問は、知恵袋のウイルス及びセキュリティ対策カテゴリにおいて、著名な回答者の一人であるKrellさんのご質問となります。
あるサイトにアクセスを試みますと、上記の投稿における偽のAdobe Flash Playerのダウンロードページと同様の偽のMedia Playerのダウンロードページへとリダイレクトされてしまうというものです。
そしてあるサイトというのは、ご質問内に記載のある「アダ被」というサイトです。
>被害対策.com (旧名:アダルト被害対策の部屋)
アダ被は、かつて管理人の群青さんを筆頭に、日本のセキュリティ分野を牽引していたとも言うべき巨大サイトである「被害対策.com」の略称です。
また被害対策.comは、当ブログでもご紹介しているHIjackthisを利用したマルウェア全般に関する相談を行える掲示板でもあります。
ご存知の方も多いと思いますが、残念ながら被害対策.comは昨年にドメイン切れとなり、現状ではサイト自体が閉鎖されています。
しかしその後、ドメイン切れとなった被害対策.comのドメインを取得した者が、どうやら被害対策.comのドメインを悪用してPUP系のプログラムを配布するページへとリダイレクトさせる手段として利用するようになったのです。
そのため被害対策.comのURLへアクセスしますと、現状では以下のような広告ページへとリダイレクトされる仕組みとなっています。
正直に申しましてセキュリティに関するブログを扱う者として、上記の被害対策.comのドメインを悪用した行為は、不快感を感じます。
それでは偽のMedia Playerのダウンロードページへとリダイレクトされる症状について、注意喚起を含めた詳細を記載してまいりたいと思います。
Media Playerのフィッシングサイトにリダイレクトされる症状に関する詳細
それでは先の項目で記載しました被害対策.comを例に挙げながら、偽のMedia Playerのダウンロードページへとリダイレクトされる症状について解説してまいりたいと思います。
1、【偽のMedia Playerのダウンロードページへとリダイレクトされる症状】
まず被害対策.com のURLにアクセスしたと仮定します。
そうしますと以下のような警告画面が表示されます。
そしてOKをクリックしますと、以下の偽のMedia Playerのダウンロードページへとリダイレクトされます。
2、【リダイレクト先でダウンロードできるファイル】
それでは次に、偽のMedia Playerのダウンロードページへリダイレクト後にダウンロードできるファイルについて解説してまいりましょう。
先の画像の偽のMedia Playerのダウンロードページにて、ダウンロードできるファイルは、先日に投稿した偽のAdobe Flash Playerに関する記事内のファイルと同一になります。
<ダウンロードできるファイル例>
>setup.exe
<setup.exe 解析結果>
3、【ダウンロードしたファイルの実行後の挙動】
それでは次に、偽のMedia Playerのダウンロードページからダウンロードしたファイルの挙動について解説してまいります。
今回、僕が実際にダウンロードしたファイルを実行したところ、以下のインストール画面が表示されています。
確かに一見すると、動画プレイヤー系ソフトのインストール画面に見えますが、インストール過程おいて様々なPUP系プログラムがバンドルされており、全てのプログラムのインストールを許可したところ、最終的に以下のようなプログラムがインストールされていました。
<インストールされたPUP系プログラム>
<プログラム名称>
・Easy Deals
・HiDef Media Player
・PC SpeedScan Pro
・Performance Center
・MySafeProxy for Internet Explorer
・PC Health kit v3.2
・hao123
以上のように複数のPUP系プログラムがインストールされています。
万一、このように複数のPUP系プログラムをインストールしてしまった場合、その後の削除作業にはかなりの手間を要しますから、皆様におかれましてはくれぐれもご注意ください。
複数のPUP系プログラムをインストールした場合の対処方法
それでは最後に、複数のPUP系プログラムをインストールした場合の対処方法を記載しておきたいと思います。
先日に投稿した偽のAdobe Flash Playerに関する記事と重複しますが、導入される不要プログラムが複数あることを考慮すると、Setup.exeの削除方法について専門の掲示板にご相談されることが1番ではないかと思います。
そこで以下の投稿をご覧になり、お使いのPCのログを取得しつつ、悪代官さんの掲示板にご相談してください。
>【悪代官の伏魔殿掲示板にご相談される方へ】Hijackthis及びCCleanerを用いたログの取得方法及び貼り付け方法について
悪代官さんの掲示板であれば、不要プログラムの削除からマルウェアの有無までを、採取したログを元にしながら解決することができますから、今回の投稿のように複数のPUP系プログラムをインストールしてしまった方は一度ご参照ください。
あとがき
さて今回の投稿は以上となります。
今回の投稿で記載する記事以外のフィッシングサイトの対策方法に関連する記事に興味がある方は、ぜひ一度以下のフィッシングサイトの対策方法に関連する記事のまとめを参照してください。
<フィッシングサイトの対策方法に関連する記事のまとめ>
1、URL
それでは以上です。