0
0http://steamcomnumity.(略).com/forums/
SteamのIDおよびパスワードをハックするために用意された
本物のページそっくりのフィッシングサイトです というか「ここは」そのままです
右側にユーザー名とパスワードを入力する欄がありますが、
入力内容に関わらず(たとえ空欄にしても)Loginボタンを押すと以下のサイトに飛びます
http://steamcomnumity.(略).com/forums/next.php
↓
http://steamcomnumity.(略).com/forums/error.html
最終的な飛び先はこんな感じ
実際はたとえユーザー名とパスワードを間違えたとしても違うページに飛んだりしません
ページのタイトルが「Confirmed」だったり英語が適当だったり色々と雑です
前のページで正しい情報を入力すると抜かれると思うので
ここでは何を見せても構わないだろうという事なのでしょうか
ちなみにメールアドレスとパスワードを要求していますが
あの入力欄のみならずその周辺がクリックできるようになっていて、
クリックすると以下のサイトに飛びます
http://steamcomnumity.(略).com/forums/next2.php
↓
http://store.steampowered.com/forums/
最後のページは本物のフォーラムです
ちなみに拡散方法は例によって突然SteamチャットでURLを送りつけるというもの
名前を知ってる人でも明らかに挙動が変なら踏まないようにしましょう
SteamのIDおよびパスワードをハックするために用意された
本物のページそっくりのフィッシングサイトです というか「ここは」そのままです
右側にユーザー名とパスワードを入力する欄がありますが、
入力内容に関わらず(たとえ空欄にしても)Loginボタンを押すと以下のサイトに飛びます
http://steamcomnumity.(略).com/forums/next.php
↓
http://steamcomnumity.(略).com/forums/error.html
最終的な飛び先はこんな感じ
実際はたとえユーザー名とパスワードを間違えたとしても違うページに飛んだりしません
ページのタイトルが「Confirmed」だったり英語が適当だったり色々と雑です
前のページで正しい情報を入力すると抜かれると思うので
ここでは何を見せても構わないだろうという事なのでしょうか
ちなみにメールアドレスとパスワードを要求していますが
あの入力欄のみならずその周辺がクリックできるようになっていて、
クリックすると以下のサイトに飛びます
http://steamcomnumity.(略).com/forums/next2.php
↓
http://store.steampowered.com/forums/
最後のページは本物のフォーラムです
ちなみに拡散方法は例によって突然SteamチャットでURLを送りつけるというもの
名前を知ってる人でも明らかに挙動が変なら踏まないようにしましょう
簡単にだけ
西田昌司参院議員の動画サイト乗っ取り、ポルノ動画掲載 被害届提出へ
現在は既にチャンネルが削除されているので観ることはできません
が、このように乗っ取られてロシア語エロサイトの宣伝を載せているチャンネルは
他にもそこそこあります なのでこの議員さんだけが目標なんてことはまずないかと
Ziggoというオランダのケーブルテレビ会社のウェブサイトには
今のところこのエロサイト広告動画が掲載されてしまっています
(モザイク、文章追加などの画像編集はこちらが行ったものです)
エロサイトの宣伝で誘導されているURLは確認できた段階で2つありますが
そのどちらのURLも踏むと同じ別のエロサイトに誘導されます
URLの詳細およびスクリーンショットは割愛
確認したところだとhttp://re(略).info/の宣伝動画では
チチが見えていたりします これはいかん
・http://re(略).info/
⇒http://www.er(略).com/zapret1/?m=F053f42d383e5350bd3edd231a14097d0&site=2455
・http://pa(略).info/
⇒http://www.er(略).com/zapret1/?m=F053f42d383e5350bd3edd231a14097d0&site=2377
最後の4ケタの数字は何度踏んでも変わる気配がありません
URLによって固定されていると思われます
http://www.er(略).com/を直に踏むとhttp://www.er(略).com/tube/に飛びます
無修正の動画サムネイルが並んでいます やっぱり言語はロシア語
http://www.er(略).com/tube/をVirusTotalにてチェックしてみたところ無反応
上のURLと同IPのエロサイトが多数存在します
デザインは上と全く同じものから違うものまで
iとlを変えただけのような非常によく似たURLもありますね
http://www.ch(略).net/
http://www.ch(略)ni.net/
http://www.fi(略)ap.ru/
http://www.fu(略)e.com/
http://www.gi(略)irl.net/
http://www.ru(略)els.net/
http://www.ru(略)tra.net/
http://www.sa(略)znle.com/
http://www.sa(略)znie.com/
http://www.se(略)maniya.com/
http://www.se(略)minia.com/
http://www.si(略)isisisisi.com/
http://www.so(略)zhee.com/
http://www.so(略)znee.com/
http://www.vi(略)oon.com/
http://www.ym(略)vsex.com/
http://www.zek(略)rr.net/
http://www.zex(略)rr.net/
日本では議員のチャンネルが乗っ取られたということでそこそこ話題になっていますが
他に乗っ取られたのは無名の小さい個人チャンネルばかりのようです
そんなわけで海外で取り上げてるサイトは殆どなく、十分な情報は集められませんでした
ロシア語のエロサイトなんて危ないものが仕込まれてるイメージしかないので
もし仮に興味が湧いたとしても踏まないようにしたほうがいいと思いますね
西田昌司参院議員の動画サイト乗っ取り、ポルノ動画掲載 被害届提出へ
現在は既にチャンネルが削除されているので観ることはできません
が、このように乗っ取られてロシア語エロサイトの宣伝を載せているチャンネルは
他にもそこそこあります なのでこの議員さんだけが目標なんてことはまずないかと
Ziggoというオランダのケーブルテレビ会社のウェブサイトには
今のところこのエロサイト広告動画が掲載されてしまっています
(モザイク、文章追加などの画像編集はこちらが行ったものです)
エロサイトの宣伝で誘導されているURLは確認できた段階で2つありますが
そのどちらのURLも踏むと同じ別のエロサイトに誘導されます
URLの詳細およびスクリーンショットは割愛
確認したところだとhttp://re(略).info/の宣伝動画では
チチが見えていたりします これはいかん
・http://re(略).info/
⇒http://www.er(略).com/zapret1/?m=F053f42d383e5350bd3edd231a14097d0&site=2455
・http://pa(略).info/
⇒http://www.er(略).com/zapret1/?m=F053f42d383e5350bd3edd231a14097d0&site=2377
最後の4ケタの数字は何度踏んでも変わる気配がありません
URLによって固定されていると思われます
http://www.er(略).com/を直に踏むとhttp://www.er(略).com/tube/に飛びます
無修正の動画サムネイルが並んでいます やっぱり言語はロシア語
http://www.er(略).com/tube/をVirusTotalにてチェックしてみたところ無反応
上のURLと同IPのエロサイトが多数存在します
デザインは上と全く同じものから違うものまで
iとlを変えただけのような非常によく似たURLもありますね
http://www.ch(略).net/
http://www.ch(略)ni.net/
http://www.fi(略)ap.ru/
http://www.fu(略)e.com/
http://www.gi(略)irl.net/
http://www.ru(略)els.net/
http://www.ru(略)tra.net/
http://www.sa(略)znle.com/
http://www.sa(略)znie.com/
http://www.se(略)maniya.com/
http://www.se(略)minia.com/
http://www.si(略)isisisisi.com/
http://www.so(略)zhee.com/
http://www.so(略)znee.com/
http://www.vi(略)oon.com/
http://www.ym(略)vsex.com/
http://www.zek(略)rr.net/
http://www.zex(略)rr.net/
日本では議員のチャンネルが乗っ取られたということでそこそこ話題になっていますが
他に乗っ取られたのは無名の小さい個人チャンネルばかりのようです
そんなわけで海外で取り上げてるサイトは殆どなく、十分な情報は集められませんでした
ロシア語のエロサイトなんて危ないものが仕込まれてるイメージしかないので
もし仮に興味が湧いたとしても踏まないようにしたほうがいいと思いますね
SIZE : 962,560 bytes
MD5 : a71fe1ca0b08b60f906900613e1a2730
SHA1 : e87ceb83853cec32afdb973619cff6c49013a9e2
プロパティで確認してみると
正式ファイル名はUsyabcv.exe、内部名はOsvb.exeとなっています
実行すると以下のファイルを作成します
C:\Documents and Settings\[ユーザー名]\Local Settings\Temp\1.tmp
C:\Documents and Settings\[ユーザー名]\Local Settings\Temp\2.tmp
↑readme.exeがリネームされたもの
亜種ではA.tmpとB.tmpとなる場合もあります
C:\Documents and Settings\All Users\Application Data\defender.exe
C:\Documents and Settings\All Users\Desktop\Security Protection.lnk
Security Protectionというソフトウェアが勝手に起動し、スキャンを始めます
しばらく放置しておくと、不快な音と共にファイアウォールの警告画面が表示されます
また、以下のページにアクセスしようとします
http://www.funnyteens.com/images/s6.php?id=117
↑初回アクセス時は「OK」、それ以降は「NO」と表示されるだけのページ
親のhttp://www.funnyteens.com/についてはBitDefenderが有害サイトと診断
http://www.yazminx.com/scripts/ss.php?id=117
↑同上
id=???の???は環境によって変化するかもしれません
exeファイルの起動が妨害されてしまうので、
コマンドプロンプトやタスクマネージャはもちろん、IEやメモ帳すら開けません
ただし、親玉であるdefender.exeという名前ならば妨害されないので
C:\Windows\system32\taskmgr.exeをコピー、defender.exeにリネームして起動し、
二つあるdefender.exeのうちメモリを食ってる方を消せば全て消えます
その後上で示したファイルを消せばとりあえずは大丈夫かと
また、一度登録をして嫌がらせを止めてから落ち着いて削除する方法もあります
シリアルコードはこちらのブログに掲載されているのでご覧ください
http://siri-urz.blogspot.com/2011/06/security-protection.html
VirusTotal (11/08/15)
Kaspersky ⇒ HEUR:Trojan.Win32.Generic
Sophos ⇒ Sus/UnkPack-C
