HTML_BLOCKER.K
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
その他
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
マルウェアは、トルコのユーザを対象にした偽の“Adobe Flash player”を利用した詐欺に関連しています。マルウェアは、動画へのリンク付きの Facebook のメッセージを送信するために利用されます。
マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。 マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。 マルウェアは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。
詳細
侵入方法
マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。
- http://www.{BLOCKED}p.us/user.php
マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。
マルウェアは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。
- JS_BLOCKER.J
その他
マルウェアは、ユーザが以下のソーシャル•ネットワーキング•サイトにアクセスした際に、特定のアカウントをフォローするよう促します。
- twitter.com
- ask.fm
マルウェアは、ユーザのFacebook上の友達のうち、現在オンラインの友達にスパムメッセージを送信します。
このメッセージは以下を含みます。
- <不正なリンク> -以下から取得された短縮URL
- http://www.{BLOCKED}r.in/dropbox/up.php
- タイトル:<友達の名前>:Yaziklar olsun izlerken içim gitti ya.
このメッセージは以下のような画像を表示します。
マルウェアは、以下からメッセージの本文を選択します。
- "Canli yayinda giyilecek elbisemi Allah askina bu! " + {random alphanumeric characters}
- " is gercekten iyice cigrindan cikti ne olacak boyle bilmiyorum!" + {random alphanumeric characters}
- "Bunlar da hakli hic bir yetenegi olmayan insanlar sonucta bunlar!" + {random alphanumeric characters}
- " Bunlari kontrol eden kurum RTUK! gor artik bunlar ve bi cozum uret!" + {random alphanumeric characters}
- "Valla bunlarda kisilik falan kalmamis kardesim" + {random alphanumeric characters}
- "Kardesim coluk cocugumuz var bunlar iyice bozdu!" + {random alphanumeric characters}
- "Birakin artik bu isleri bizler akillandik yemiyoruz bu numaralari!" + {random alphanumeric characters}
- "Ben izledim kendimden utandim. sizde bir bakin sunlara" + {random alphanumeric characters}
- "Yeter biktik beee! Biz boyle izlemek istemiyoruz!" + {random alphanumeric characters}
- "Yaa arkadaslar bunlari kontrol eden bir kurum yokmu! " + {random alphanumeric characters}
- "Reyting ugruna her gun neler goruyoruz vallahi yazik!" + {random alphanumeric characters}
- "Bizim orf adetlerimizle hic bagdasmayan seyler bunlar!" + {random alphanumeric characters}
- "D\xFCn\'den Beri Ugra\u015Ft\u0131g\u0131m tek \u015Eey bu Video \u0130zleyin."
- "Mutlaka \u0130zleyin g\xFCnlerdir ugra\u015F\u0131orum."
- "Videomu \u0130zleyen Herkeze Te\u015Fekk\xFCrler."
- "En Sevdi\u011Fim Arkada\u015Flar\u0131m :)"
- "Ben Bu Videoyu yapmak i\xE7in g\xFCnlerimi verdim kimse izlemior."
- "Yeni y\u0131l\u0131n\u0131z kutlu olsun arkada\u015Flar :) :D"
- "2013 y\u0131l\u0131nda arkada\u015Flar\u0131m ile ge\xE7irdi\u011Fim en g\xFCzel anlar"
- "Benim videomu birtek noal baba izlesin dilek diledim"
- "Simdide \u0130nanmayinda Goreyim :)"
- "Herkez Cesaret Edemez .."
- "\u0130ste Size Bahsettigim Sirrim :)"
- "Cok Utaniyorum Ama Birde Siz \u0130zleyin L\xFCtfen"
- "Ne Kadar Cilgin Bir \u0130nsanim Ben."
- "Nasilda Tatliyim Ama.."
- "Dostlarimin Destegi Olmasaydi Gidemezdim.."
- "Destek Veren Tum Dostlarimi Kutluyorum"
- "Yetenek Sizsiniz T\xFCrkiye\'ye Kat\u0131ld\u0131m. \u0130zlerseniz Sevinirim"
- "Bunu Yapacag\u0131m Aklima Gelmezdi :)"
- "Destek Veren T\xFCm Arkadaslarima Tesekk\xFCr Ederim"
- "Sonunda Bunuda Yaptim ya Helal Olsun Bana"
- "Kim Derdiki Televizyona Cikacag\u0131m ?"
- "Taniyanlar Ne Kadar Cilgin Oldugumu Bilir :)"
ユーザがメッセージ中の不正なリンクをクリックすると、ブラウザは以下のようなwebページを表示します。
このwebページは以下のように保存された偽の“Adobe Flash player”の更新をダウンロードし、インストールするようユーザを 誘導します。このファイルは、「TROJ_BLOCKER.J」として検出されます。
- {user-defined download directory}\install_flashplayer13x32_23msa_aaa.aih.exe
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
起動中ブラウザのウインドウを全て閉じてください。
手順 3
「HTML_BLOCKER.K」 が作成またはダウンロードした不正なファイルを削除します。
- TROJ_BLOCKER.J
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「HTML_BLOCKER.K」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください