簡単にだけ
西田昌司参院議員の動画サイト乗っ取り、ポルノ動画掲載 被害届提出へ
現在は既にチャンネルが削除されているので観ることはできません
が、このように乗っ取られてロシア語エロサイトの宣伝を載せているチャンネルは
他にもそこそこあります なのでこの議員さんだけが目標なんてことはまずないかと
Ziggoというオランダのケーブルテレビ会社のウェブサイトには
今のところこのエロサイト広告動画が掲載されてしまっています
(モザイク、文章追加などの画像編集はこちらが行ったものです)
エロサイトの宣伝で誘導されているURLは確認できた段階で2つありますが
そのどちらのURLも踏むと同じ別のエロサイトに誘導されます
URLの詳細およびスクリーンショットは割愛
確認したところだとhttp://re(略).info/の宣伝動画では
チチが見えていたりします これはいかん
・http://re(略).info/
⇒http://www.er(略).com/zapret1/?m=F053f42d383e5350bd3edd231a14097d0&site=2455
・http://pa(略).info/
⇒http://www.er(略).com/zapret1/?m=F053f42d383e5350bd3edd231a14097d0&site=2377
最後の4ケタの数字は何度踏んでも変わる気配がありません
URLによって固定されていると思われます
http://www.er(略).com/を直に踏むとhttp://www.er(略).com/tube/に飛びます
無修正の動画サムネイルが並んでいます やっぱり言語はロシア語
http://www.er(略).com/tube/をVirusTotalにてチェックしてみたところ無反応
上のURLと同IPのエロサイトが多数存在します
デザインは上と全く同じものから違うものまで
iとlを変えただけのような非常によく似たURLもありますね
http://www.ch(略).net/
http://www.ch(略)ni.net/
http://www.fi(略)ap.ru/
http://www.fu(略)e.com/
http://www.gi(略)irl.net/
http://www.ru(略)els.net/
http://www.ru(略)tra.net/
http://www.sa(略)znle.com/
http://www.sa(略)znie.com/
http://www.se(略)maniya.com/
http://www.se(略)minia.com/
http://www.si(略)isisisisi.com/
http://www.so(略)zhee.com/
http://www.so(略)znee.com/
http://www.vi(略)oon.com/
http://www.ym(略)vsex.com/
http://www.zek(略)rr.net/
http://www.zex(略)rr.net/
日本では議員のチャンネルが乗っ取られたということでそこそこ話題になっていますが
他に乗っ取られたのは無名の小さい個人チャンネルばかりのようです
そんなわけで海外で取り上げてるサイトは殆どなく、十分な情報は集められませんでした
ロシア語のエロサイトなんて危ないものが仕込まれてるイメージしかないので
もし仮に興味が湧いたとしても踏まないようにしたほうがいいと思いますね
西田昌司参院議員の動画サイト乗っ取り、ポルノ動画掲載 被害届提出へ
現在は既にチャンネルが削除されているので観ることはできません
が、このように乗っ取られてロシア語エロサイトの宣伝を載せているチャンネルは
他にもそこそこあります なのでこの議員さんだけが目標なんてことはまずないかと
Ziggoというオランダのケーブルテレビ会社のウェブサイトには
今のところこのエロサイト広告動画が掲載されてしまっています
(モザイク、文章追加などの画像編集はこちらが行ったものです)
エロサイトの宣伝で誘導されているURLは確認できた段階で2つありますが
そのどちらのURLも踏むと同じ別のエロサイトに誘導されます
URLの詳細およびスクリーンショットは割愛
確認したところだとhttp://re(略).info/の宣伝動画では
チチが見えていたりします これはいかん
・http://re(略).info/
⇒http://www.er(略).com/zapret1/?m=F053f42d383e5350bd3edd231a14097d0&site=2455
・http://pa(略).info/
⇒http://www.er(略).com/zapret1/?m=F053f42d383e5350bd3edd231a14097d0&site=2377
最後の4ケタの数字は何度踏んでも変わる気配がありません
URLによって固定されていると思われます
http://www.er(略).com/を直に踏むとhttp://www.er(略).com/tube/に飛びます
無修正の動画サムネイルが並んでいます やっぱり言語はロシア語
http://www.er(略).com/tube/をVirusTotalにてチェックしてみたところ無反応
上のURLと同IPのエロサイトが多数存在します
デザインは上と全く同じものから違うものまで
iとlを変えただけのような非常によく似たURLもありますね
http://www.ch(略).net/
http://www.ch(略)ni.net/
http://www.fi(略)ap.ru/
http://www.fu(略)e.com/
http://www.gi(略)irl.net/
http://www.ru(略)els.net/
http://www.ru(略)tra.net/
http://www.sa(略)znle.com/
http://www.sa(略)znie.com/
http://www.se(略)maniya.com/
http://www.se(略)minia.com/
http://www.si(略)isisisisi.com/
http://www.so(略)zhee.com/
http://www.so(略)znee.com/
http://www.vi(略)oon.com/
http://www.ym(略)vsex.com/
http://www.zek(略)rr.net/
http://www.zex(略)rr.net/
日本では議員のチャンネルが乗っ取られたということでそこそこ話題になっていますが
他に乗っ取られたのは無名の小さい個人チャンネルばかりのようです
そんなわけで海外で取り上げてるサイトは殆どなく、十分な情報は集められませんでした
ロシア語のエロサイトなんて危ないものが仕込まれてるイメージしかないので
もし仮に興味が湧いたとしても踏まないようにしたほうがいいと思いますね
0
0
SIZE : 962,560 bytes
MD5 : a71fe1ca0b08b60f906900613e1a2730
SHA1 : e87ceb83853cec32afdb973619cff6c49013a9e2
プロパティで確認してみると
正式ファイル名はUsyabcv.exe、内部名はOsvb.exeとなっています
実行すると以下のファイルを作成します
C:\Documents and Settings\[ユーザー名]\Local Settings\Temp\1.tmp
C:\Documents and Settings\[ユーザー名]\Local Settings\Temp\2.tmp
↑readme.exeがリネームされたもの
亜種ではA.tmpとB.tmpとなる場合もあります
C:\Documents and Settings\All Users\Application Data\defender.exe
C:\Documents and Settings\All Users\Desktop\Security Protection.lnk
Security Protectionというソフトウェアが勝手に起動し、スキャンを始めます
しばらく放置しておくと、不快な音と共にファイアウォールの警告画面が表示されます
また、以下のページにアクセスしようとします
http://www.funnyteens.com/images/s6.php?id=117
↑初回アクセス時は「OK」、それ以降は「NO」と表示されるだけのページ
親のhttp://www.funnyteens.com/についてはBitDefenderが有害サイトと診断
http://www.yazminx.com/scripts/ss.php?id=117
↑同上
id=???の???は環境によって変化するかもしれません
exeファイルの起動が妨害されてしまうので、
コマンドプロンプトやタスクマネージャはもちろん、IEやメモ帳すら開けません
ただし、親玉であるdefender.exeという名前ならば妨害されないので
C:\Windows\system32\taskmgr.exeをコピー、defender.exeにリネームして起動し、
二つあるdefender.exeのうちメモリを食ってる方を消せば全て消えます
その後上で示したファイルを消せばとりあえずは大丈夫かと
また、一度登録をして嫌がらせを止めてから落ち着いて削除する方法もあります
シリアルコードはこちらのブログに掲載されているのでご覧ください
http://siri-urz.blogspot.com/2011/06/security-protection.html
VirusTotal (11/08/15)
Kaspersky ⇒ HEUR:Trojan.Win32.Generic
Sophos ⇒ Sus/UnkPack-C
http://checksystem.cz.cc/
http://checksystembungalow.gv.vg/
http://checksystemonitor.cu.cc/
http://checksystemparade.cu.cc/
http://checksystemsenate.cu.cc/
http://checksystemwing.cu.cc/
http://chekinmonitoringconnector.cx.cc/
http://chekinmonitoringconnectornew.cx.cc/
http://esystemchecking.gv.vg/
http://exclusystemchecking.cz.cc/
http://isystemchecking.gv.vg/
http://netsystemchecking.gv.vg/
http://numbertestaholic.cz.cc/
http://systemchecking.gv.vg/
http://systemcheckingdesk.cz.cc/
http://systemcheckingfairy.cz.cc/
http://systemcheckingspot.cz.cc/
http://systemcheckingtech.cz.cc/
http://systemcheckingweek.cz.cc/
http://systemcheckingwire.cz.cc/
新しい偽スキャンサイトの紹介
2種類ありますが、どちらが表示されるかは環境によって変わるようです
ただし落ちてくるexeファイルは同じものです
今回は都合によりIE8にて踏みました
1.
ページを開くとカーソルアイコンの砂時計のような画像が表示されます
その後、ウィンドウが画面サイズいっぱいにまで広がり、
XPのバルーン表示音と共にこんな画面が表示されます
この中央部にある警告画面は勿論本物ではなく、ページ側が用意した画像です
上のウィンドウのどこをクリックしても偽スキャン画面が表示されます
一応スキャンが終わるとこんな感じに
下のバルーンのようなものもページ側が用意した画像ですね
その後、上のウィンドウのどこをクリックしてもexeファイルが落ちてきます
何故か落ちてきたexeファイルは上の説明と比較して名前もサイズも違っていました
2.
ページを開くとウィンドウのサイズが最小になり、こんな警告画面が表示されます
例によってOK,キャンセルのどちらを押しても偽スキャンサイトに誘導されます
また、真っ白且つメニューバー無し、右クリック不可なウィンドウを表示します
このウィンドウが表示された瞬間、
F-Secureが一時ファイルフォルダからアドウェアを検出しました
上の偽スキャン画面の適当な場所をクリックするとこんな感じになります
上のは二回目の時なのでページが一部違いますが気にしないで下さい
そしてやっぱりどこをクリックしてもexeファイルが落ちてきます
SIZE : 81,920 bytes
MD5 : e4b8ca54fa989032fba46c730c846caf
VirusTotal (11/08/07)
NOD32 ⇒ a variant of Win32/Kryptik.RET
Rising ⇒ Suspicious
Sophos ⇒ Mal/Zbot-CX
F-Secureにファイル提出済
http://checksystembungalow.gv.vg/
http://checksystemonitor.cu.cc/
http://checksystemparade.cu.cc/
http://checksystemsenate.cu.cc/
http://checksystemwing.cu.cc/
http://chekinmonitoringconnector.cx.cc/
http://chekinmonitoringconnectornew.cx.cc/
http://esystemchecking.gv.vg/
http://exclusystemchecking.cz.cc/
http://isystemchecking.gv.vg/
http://netsystemchecking.gv.vg/
http://numbertestaholic.cz.cc/
http://systemchecking.gv.vg/
http://systemcheckingdesk.cz.cc/
http://systemcheckingfairy.cz.cc/
http://systemcheckingspot.cz.cc/
http://systemcheckingtech.cz.cc/
http://systemcheckingweek.cz.cc/
http://systemcheckingwire.cz.cc/
新しい偽スキャンサイトの紹介
2種類ありますが、どちらが表示されるかは環境によって変わるようです
ただし落ちてくるexeファイルは同じものです
今回は都合によりIE8にて踏みました
1.
ページを開くとカーソルアイコンの砂時計のような画像が表示されます
その後、ウィンドウが画面サイズいっぱいにまで広がり、
XPのバルーン表示音と共にこんな画面が表示されます
この中央部にある警告画面は勿論本物ではなく、ページ側が用意した画像です
上のウィンドウのどこをクリックしても偽スキャン画面が表示されます
一応スキャンが終わるとこんな感じに
下のバルーンのようなものもページ側が用意した画像ですね
その後、上のウィンドウのどこをクリックしてもexeファイルが落ちてきます
何故か落ちてきたexeファイルは上の説明と比較して名前もサイズも違っていました
2.
ページを開くとウィンドウのサイズが最小になり、こんな警告画面が表示されます
例によってOK,キャンセルのどちらを押しても偽スキャンサイトに誘導されます
また、真っ白且つメニューバー無し、右クリック不可なウィンドウを表示します
このウィンドウが表示された瞬間、
F-Secureが一時ファイルフォルダからアドウェアを検出しました
上の偽スキャン画面の適当な場所をクリックするとこんな感じになります
上のは二回目の時なのでページが一部違いますが気にしないで下さい
そしてやっぱりどこをクリックしてもexeファイルが落ちてきます
SIZE : 81,920 bytes
MD5 : e4b8ca54fa989032fba46c730c846caf
VirusTotal (11/08/07)
NOD32 ⇒ a variant of Win32/Kryptik.RET
Rising ⇒ Suspicious
Sophos ⇒ Mal/Zbot-CX
F-Secureにファイル提出済
http://call-the-celebs-1.tk/YouTube/
右側の動画サムネイル(のようなもの)は全てエロ画像になっています(この画像では修正済み)
左上にあるlolypop123という人は同じような題名の動画を本家YouTubeにアップしています
内容はセクシー動画ですがここのサムネイルほど過激ではありません
ですが、下の欄を見るとアップロード者はmaholodotcomという人になっています
なんで名前を変えたんでしょうね
動画再生画面、右側の動画タイトル及びサムネイル、上にある黄色いバーの
いずれをクリックしてもinstall_flash_player.exeが落ちてきます
SIZE : 303,104 bytes
MD5 : 19e2f0b56887f965f0920f9515d56944
VirusTotal (11/08/04)
BitDefender ⇒ Trojan.Generic.KD.306228
DrWeb ⇒ Trojan.DownLoader4.30292
Emsisoft ⇒ Backdoor.Win32.ZAccess!IK
F-Secure ⇒ Trojan.Generic.KD.306228
GData ⇒ Trojan.Generic.KD.306228
Ikarus ⇒ Backdoor.Win32.ZAccess
Kaspersky ⇒ Backdoor.Win32.ZAccess.fz
Sophos ⇒ Mal/Zbot-CX
VIPRE ⇒ Trojan.Win32.Generic!BT
ViRobot ⇒ Backdoor.Win32.ZAccess.300887
右側の動画サムネイル(のようなもの)は全てエロ画像になっています(この画像では修正済み)
左上にあるlolypop123という人は同じような題名の動画を本家YouTubeにアップしています
内容はセクシー動画ですがここのサムネイルほど過激ではありません
ですが、下の欄を見るとアップロード者はmaholodotcomという人になっています
なんで名前を変えたんでしょうね
動画再生画面、右側の動画タイトル及びサムネイル、上にある黄色いバーの
いずれをクリックしてもinstall_flash_player.exeが落ちてきます
SIZE : 303,104 bytes
MD5 : 19e2f0b56887f965f0920f9515d56944
VirusTotal (11/08/04)
BitDefender ⇒ Trojan.Generic.KD.306228
DrWeb ⇒ Trojan.DownLoader4.30292
Emsisoft ⇒ Backdoor.Win32.ZAccess!IK
F-Secure ⇒ Trojan.Generic.KD.306228
GData ⇒ Trojan.Generic.KD.306228
Ikarus ⇒ Backdoor.Win32.ZAccess
Kaspersky ⇒ Backdoor.Win32.ZAccess.fz
Sophos ⇒ Mal/Zbot-CX
VIPRE ⇒ Trojan.Win32.Generic!BT
ViRobot ⇒ Backdoor.Win32.ZAccess.300887
