ニセモノのセキュリティソフトを紹介 その他いろいろ
◆403/zomyEE
スポンサーサイト
-----------  CATEGORY: スポンサー広告
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
ページトップへ
移転のお知らせ
2013-01-29-Tue  CATEGORY: Other
ブログを移転しました →こちら
別のブログでちょこちょこ書いていたPCゲーム関連の内容がメインになると思います
スポンサーサイト
ページトップへ  トラックバック0 コメント0
意図的なのか単に雑なのか
2012-06-19-Tue  CATEGORY: Kiken URL
http://steamcomnumity.(略).com/forums/
Steam Community-194032

SteamのIDおよびパスワードをハックするために用意された
本物のページそっくりのフィッシングサイトです というか「ここは」そのままです

右側にユーザー名とパスワードを入力する欄がありますが、
入力内容に関わらず(たとえ空欄にしても)Loginボタンを押すと以下のサイトに飛びます

http://steamcomnumity.(略).com/forums/next.php

http://steamcomnumity.(略).com/forums/error.html

最終的な飛び先はこんな感じ
Confirmed-193936.png

実際はたとえユーザー名とパスワードを間違えたとしても違うページに飛んだりしません
ページのタイトルが「Confirmed」だったり英語が適当だったり色々と雑です
前のページで正しい情報を入力すると抜かれると思うので
ここでは何を見せても構わないだろうという事なのでしょうか

ちなみにメールアドレスとパスワードを要求していますが
あの入力欄のみならずその周辺がクリックできるようになっていて、
クリックすると以下のサイトに飛びます

http://steamcomnumity.(略).com/forums/next2.php

http://store.steampowered.com/forums/

最後のページは本物のフォーラムです

ちなみに拡散方法は例によって突然SteamチャットでURLを送りつけるというもの
名前を知ってる人でも明らかに挙動が変なら踏まないようにしましょう
ページトップへ  トラックバック0 コメント0
前にもYoutubeにアダルト動画がupされてたなぁ
2012-01-30-Mon  CATEGORY: News
簡単にだけ

西田昌司参院議員の動画サイト乗っ取り、ポルノ動画掲載 被害届提出へ

現在は既にチャンネルが削除されているので観ることはできません
が、このように乗っ取られてロシア語エロサイトの宣伝を載せているチャンネルは
他にもそこそこあります なのでこの議員さんだけが目標なんてことはまずないかと

Ziggoというオランダのケーブルテレビ会社のウェブサイトには
今のところこのエロサイト広告動画が掲載されてしまっています
televisie - Ziggo-182348a
(モザイク、文章追加などの画像編集はこちらが行ったものです)

エロサイトの宣伝で誘導されているURLは確認できた段階で2つありますが
そのどちらのURLも踏むと同じ別のエロサイトに誘導されます
URLの詳細およびスクリーンショットは割愛

確認したところだとhttp://re(略).info/の宣伝動画では
チチが見えていたりします これはいかん

http://re(略).info/
http://www.er(略).com/zapret1/?m=F053f42d383e5350bd3edd231a14097d0&site=2455

http://pa(略).info/
http://www.er(略).com/zapret1/?m=F053f42d383e5350bd3edd231a14097d0&site=2377

最後の4ケタの数字は何度踏んでも変わる気配がありません
URLによって固定されていると思われます

http://www.er(略).com/を直に踏むとhttp://www.er(略).com/tube/に飛びます
無修正の動画サムネイルが並んでいます やっぱり言語はロシア語
http://www.er(略).com/tube/をVirusTotalにてチェックしてみたところ無反応

上のURLと同IPのエロサイトが多数存在します
デザインは上と全く同じものから違うものまで
iとlを変えただけのような非常によく似たURLもありますね
http://www.ch(略).net/
http://www.ch(略)ni.net/
http://www.fi(略)ap.ru/
http://www.fu(略)e.com/
http://www.gi(略)irl.net/
http://www.ru(略)els.net/
http://www.ru(略)tra.net/
http://www.sa(略)znle.com/
http://www.sa(略)znie.com/
http://www.se(略)maniya.com/
http://www.se(略)minia.com/
http://www.si(略)isisisisi.com/
http://www.so(略)zhee.com/
http://www.so(略)znee.com/
http://www.vi(略)oon.com/
http://www.ym(略)vsex.com/
http://www.zek(略)rr.net/
http://www.zex(略)rr.net/


日本では議員のチャンネルが乗っ取られたということでそこそこ話題になっていますが
他に乗っ取られたのは無名の小さい個人チャンネルばかりのようです
そんなわけで海外で取り上げてるサイトは殆どなく、十分な情報は集められませんでした

ロシア語のエロサイトなんて危ないものが仕込まれてるイメージしかないので
もし仮に興味が湧いたとしても踏まないようにしたほうがいいと思いますね
ページトップへ  トラックバック0 コメント0
無題
2012-01-09-Mon  CATEGORY: Other
とりあえず生存報告みたいな感じで

現在は別のことを色々やってたり忙しかったりでこっちは放置気味ですね
時間を見つけてちょこちょこ更新していこうとは思っていますが
今まで以上に更新頻度は落ちることになりそうです

あ、もう9日ですがあけましておめでとうございます
何はともあれこのブログをよろしくお願いします
ページトップへ  トラックバック0 コメント1
FAKE AV - readme.exe
2011-08-16-Tue  CATEGORY: Malware
1108F235755_DANGER.png
SIZE : 962,560 bytes
MD5 : a71fe1ca0b08b60f906900613e1a2730
SHA1 : e87ceb83853cec32afdb973619cff6c49013a9e2


プロパティで確認してみると
正式ファイル名はUsyabcv.exe、内部名はOsvb.exeとなっています

実行すると以下のファイルを作成します
C:\Documents and Settings\[ユーザー名]\Local Settings\Temp\1.tmp
C:\Documents and Settings\[ユーザー名]\Local Settings\Temp\2.tmp
↑readme.exeがリネームされたもの
亜種ではA.tmpとB.tmpとなる場合もあります

C:\Documents and Settings\All Users\Application Data\defender.exe
C:\Documents and Settings\All Users\Desktop\Security Protection.lnk

Security Protectionというソフトウェアが勝手に起動し、スキャンを始めます
systemprotection.jpg

しばらく放置しておくと、不快な音と共にファイアウォールの警告画面が表示されます
systemprotection2.jpg

また、以下のページにアクセスしようとします
http://www.funnyteens.com/images/s6.php?id=117
↑初回アクセス時は「OK」、それ以降は「NO」と表示されるだけのページ
親のhttp://www.funnyteens.com/についてはBitDefenderが有害サイトと診断

http://www.yazminx.com/scripts/ss.php?id=117
↑同上
id=???の???は環境によって変化するかもしれません

exeファイルの起動が妨害されてしまうので、
コマンドプロンプトやタスクマネージャはもちろん、IEやメモ帳すら開けません
ただし、親玉であるdefender.exeという名前ならば妨害されないので
C:\Windows\system32\taskmgr.exeをコピー、defender.exeにリネームして起動し、
二つあるdefender.exeのうちメモリを食ってる方を消せば全て消えます
その後上で示したファイルを消せばとりあえずは大丈夫かと

また、一度登録をして嫌がらせを止めてから落ち着いて削除する方法もあります
シリアルコードはこちらのブログに掲載されているのでご覧ください
http://siri-urz.blogspot.com/2011/06/security-protection.html

VirusTotal (11/08/15)

Kaspersky ⇒ HEUR:Trojan.Win32.Generic
Sophos ⇒ Sus/UnkPack-C
ページトップへ  トラックバック0 コメント2


余白 Copyright © 2005 ◆403/zomyEE. all rights reserved.
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。