ロシア人が作った動的ウィルス生成フィッシングサイトがやばいよ!
フリーソフトのダウンロードにメールアドレスの入力を要求されて、めんどくさい…。
どこか落ちてないかな?って思って探した経験はありませんか?
かなり前から、こうした心理を利用して、マルウェア入りのアプリをダウンロードさせる手口があるのですが、やばいサイトを見つけてしまいました
"soft.softtorrentlife.ru" というサイトなのですが、なんと、ユーザーが検索でたどり着いた任意の名前の 実行ファイルをダウンロードさせるようになっています。
しかも、ダウンロードするたびに 異なるウィルスを使って、ダウンロード中に電子署名を 使ってリアルタイムに署名するため、同じバイナリが生成されることがありません。
Antivirus scan for 1945ef7a9ee612723d5c82de8a5de7599375a16ae1fb38760aa1fd4f6d97ceb8 at 2015-09-25 05:52:28 UTC - VirusTotal
Antivirus scan for 84d47f2e58aa1ce88ef2201cb1214a1d44f017be40f09c799b51d1e8356c294a at UTC - VirusTotal
電子署名はこんな感じ
"IKO-PROF",OOO という名前ですね
warn.p7b
Windows 7などは ACLで この電子署名をブラックリストに入れておけば実行は阻止できます。
|。・ω・) 。o (まぁ、うかつに変なところから、実行ファイルを落としてきて起動しないことですね)
Translate
システムのDLLを検索するとkrnel32.dllのダウンロード等というのがいくつか出てくるのですがそういった類はどうなんですかね
free downloadとか出てきて明らかに意味不明なんですが
いろんなサイトからフリーウェアをダウンロードして使っている私にとっては重要な問題ですが、
私には難しすぎます。
お気に入りのcodec8.4とかもロシア製と聞きますし…
XPなのでおっしゃる対策はできない?ようなので
CRL失効リストがインポートできないかとか調べましたが良くわかりませんでした…
firefoxの証明書マネージャーでCOMODO RSA Certification Authorityとかを信頼性を設定「この証明書をソフトウェア製作者の識別に使用する」のチェックをはずすとかじゃだめなんでしょうか
このサイトがですか?
Windows7ならば、信頼できない証明書にインポートすれば、はじいてくれます。
XPや2000だとダメだと思います
説明不足でした。検索はgoogleの話です
かなり以前から存在するのでどこかで話題になってると思いますが
黒翼猫さんの所に疑念を持っているというのではなく、知識の乏しい私にはXPで対策が難しいです。
怪しいソフトの判定基準もavast頼みですし
warn.p7bがの発行者がcomodoRSAってなってるので
COMODOSSLCA.crlなんかの失効証明書をインポートすることで怪しいものをはじくことはできないのか
Certificate Patrol とか使えば何とかなるのか
考えたけどわかりませんでした(苦笑
いや、warn.p7b をそのまま失効リスト(信頼できない証明書)に入れるだけです