先日ウイルスバスター2009の性能を評価中に感染してしまったマルウェアに付いて少々調べてみました。
結論的に言えば、もうパソコンウイルス対策ツールは役に立たなくなりつつあります。
まずは該当サイトのリダイレクトトラップ進入経路を参照頂きたいと思います。
結論的に言えば、もうパソコンウイルス対策ツールは役に立たなくなりつつあります。
まずは該当サイトのリダイレクトトラップ進入経路を参照頂きたいと思います。
まずlocal proxyのログです。
該当の悪意あるアフィリエイトを展開するサイトを開くと自動的にマルウェア配布のトラップサイトへ転送しようとします。
2008/09/23(11:46:02) P-SV(HTTP) 127.0.0.1 [8080] www.ecosect.nl [80] "GET http://www.ecosect.nl/images/t/beyyaas.js HTTP/1.1"
2008/09/23(11:46:03) P-SV(HTTP) 127.0.0.1 [8080] www.ecosect.nl [80] "GET http://www.ecosect.nl/images/t/images/logo.jpg HTTP/1.1"
2008/09/23(11:46:03) P-SV(HTTP) 127.0.0.1 [8080] www.informsi-te.com [80] "GET http://www.informsi-te.com/search/search.php?q=justine+greiner HTTP/1.1"
2008/09/23(11:46:15) P-SV(HTTP) 127.0.0.1 [8080] seamastersoft.com [80] "GET http://seamastersoft.com/soft.php?aid=0293&d=1&product=XPA&refer=60b99309f HTTP/1.1"
上記URLを二つ経由し最終的に、Antivirus2009のトラップページへ転送されます。
肝心のseamastersoft.comの後ろのコードである、aid=0293&d=1&product=XPA&refer=60b99309f ですがこれはアフィリエイトコードとなると思われます。
なのでseamastersoft.comからの顧客がAntivirus2009の偽者ツールを購入と特定されインセンティブを受ける事ができるようになるわけです。
これはもう悪意あるとかないとかの問題ではなく、私たちはセキュリティを出汁にお金を吸い取られる仕組みが世界的に形成されつつあるようです。
一方、多段転送している勧進のドメインですがシマンテック側では悪意あると断定している様子でした。
informsi-te.com
http://safeweb.norton.com/report/show?url=www.informsi-te.com&x=0&y=0
seamastersoft.com
http://safeweb.norton.com/report/show?name=seamastersoft.com
但し、シマンテック側の方でもどういったリスクがあるのかに付いては明確にされておりません。
肝心の、上記サイトからリダイレクト転送を受けるサイトで半強制的に取得させられるマルウェアを取得して調べてみましたところ。
上記に見えるファイル名A9installer_77027901.exeをそれぞれオンラインで検査してみました。
まずはVirustotalの結果です。 http://www.virustotal.com/jp/analisis/22b3544dba59248c5f7e3942f825e2bc
次にvirscan.orgでの結果です。 http://www.virscan.org/report/7df9f5c49653606b127979c03db9adba.html
最後にカスペルスキーファイルスキャン結果のスクリーンショットです。
一応IE7とFireFox3でそれぞれ試しましたがフィルタに引っかかる事を無い部分を見ると、大きなマネーが絡んでいるのでこれらをとめる事が出来ないと言う所だと私的に考える次第です。
素人の私にでさえログ抽出できるのにプロが出来ないわけ無い部分を考えて頂くとより本質を見抜くことが出来るのではないでしょうか。(アンタッチャブル)
該当の悪意あるアフィリエイトを展開するサイトを開くと自動的にマルウェア配布のトラップサイトへ転送しようとします。
2008/09/23(11:46:02) P-SV(HTTP) 127.0.0.1 [8080] www.ecosect.nl [80] "GET http://www.ecosect.nl/images/t/beyyaas.js HTTP/1.1"
2008/09/23(11:46:03) P-SV(HTTP) 127.0.0.1 [8080] www.ecosect.nl [80] "GET http://www.ecosect.nl/images/t/images/logo.jpg HTTP/1.1"
2008/09/23(11:46:03) P-SV(HTTP) 127.0.0.1 [8080] www.informsi-te.com [80] "GET http://www.informsi-te.com/search/search.php?q=justine+greiner HTTP/1.1"
2008/09/23(11:46:15) P-SV(HTTP) 127.0.0.1 [8080] seamastersoft.com [80] "GET http://seamastersoft.com/soft.php?aid=0293&d=1&product=XPA&refer=60b99309f HTTP/1.1"
上記URLを二つ経由し最終的に、Antivirus2009のトラップページへ転送されます。
肝心のseamastersoft.comの後ろのコードである、aid=0293&d=1&product=XPA&refer=60b99309f ですがこれはアフィリエイトコードとなると思われます。
なのでseamastersoft.comからの顧客がAntivirus2009の偽者ツールを購入と特定されインセンティブを受ける事ができるようになるわけです。
これはもう悪意あるとかないとかの問題ではなく、私たちはセキュリティを出汁にお金を吸い取られる仕組みが世界的に形成されつつあるようです。
一方、多段転送している勧進のドメインですがシマンテック側では悪意あると断定している様子でした。
informsi-te.com
http://safeweb.norton.com/report/show?url=www.informsi-te.com&x=0&y=0
seamastersoft.com
http://safeweb.norton.com/report/show?name=seamastersoft.com
但し、シマンテック側の方でもどういったリスクがあるのかに付いては明確にされておりません。
肝心の、上記サイトからリダイレクト転送を受けるサイトで半強制的に取得させられるマルウェアを取得して調べてみましたところ。
上記に見えるファイル名A9installer_77027901.exeをそれぞれオンラインで検査してみました。
まずはVirustotalの結果です。 http://www.virustotal.com/jp/analisis/22b3544dba59248c5f7e3942f825e2bc
次にvirscan.orgでの結果です。 http://www.virscan.org/report/7df9f5c49653606b127979c03db9adba.html
最後にカスペルスキーファイルスキャン結果のスクリーンショットです。
一応IE7とFireFox3でそれぞれ試しましたがフィルタに引っかかる事を無い部分を見ると、大きなマネーが絡んでいるのでこれらをとめる事が出来ないと言う所だと私的に考える次第です。
素人の私にでさえログ抽出できるのにプロが出来ないわけ無い部分を考えて頂くとより本質を見抜くことが出来るのではないでしょうか。(アンタッチャブル)
たしかに怖いですね。
信じてたAntiVirも反応しませんでした…
AntiVirとウイルスバスターの方は検体提出しときますね。
連続投稿すみません。
ウイルスバスターに提出しようとしたら、すでに対策済みでした。
http://www.virustotal.com/jp/analisis/5244ea7c98dd74c45436a4fc3612c00a
ファイル名が少し違いますが、同じハッシュなので同じファイルです。
ノボル様 こんばんわ。検体提出ありがとうございます。ただ、この問題は検体が問題ではなくシステムそのものを打破してもらわないと被害は減る事が無いと私的に警戒している次第です。