Trend Micro Security

HTML_BLOCKER.K

2014年1月27日
 解析者: Anthony Joe Melgarejo   

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: その他
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, ソーシャル・ネットワーキング・サイト(SNS)経由による侵入

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、トルコのユーザを対象にした偽の“Adobe Flash player”を利用した詐欺に関連しています。マルウェアは、動画へのリンク付きの Facebook のメッセージを送信するために利用されます。

マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。 マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。 マルウェアは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。


  詳細

ファイルサイズ 10,545 bytes
タイプ HTML, HTM
発見日 2014年1月22日
ペイロード ファイルのダウンロード

侵入方法

マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

  • http://www.{BLOCKED}p.us/user.php

マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。

マルウェアは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。

  • JS_BLOCKER.J

その他

マルウェアは、ユーザが以下のソーシャル•ネットワーキング•サイトにアクセスした際に、特定のアカウントをフォローするよう促します。

  • twitter.com
  • ask.fm

マルウェアは、ユーザのFacebook上の友達のうち、現在オンラインの友達にスパムメッセージを送信します。

このメッセージは以下を含みます。

  • <不正なリンク> -以下から取得された短縮URL
    • http://www.{BLOCKED}r.in/dropbox/up.php
  • タイトル:<友達の名前>:Yaziklar olsun izlerken içim gitti ya.

このメッセージは以下のような画像を表示します。

マルウェアは、以下からメッセージの本文を選択します。

  • "Canli yayinda giyilecek elbisemi Allah askina bu! " + {random alphanumeric characters}
  • " is gercekten iyice cigrindan cikti ne olacak boyle bilmiyorum!" + {random alphanumeric characters}
  • "Bunlar da hakli hic bir yetenegi olmayan insanlar sonucta bunlar!" + {random alphanumeric characters}
  • " Bunlari kontrol eden kurum RTUK! gor artik bunlar ve bi cozum uret!" + {random alphanumeric characters}
  • "Valla bunlarda kisilik falan kalmamis kardesim" + {random alphanumeric characters}
  • "Kardesim coluk cocugumuz var bunlar iyice bozdu!" + {random alphanumeric characters}
  • "Birakin artik bu isleri bizler akillandik yemiyoruz bu numaralari!" + {random alphanumeric characters}
  • "Ben izledim kendimden utandim. sizde bir bakin sunlara" + {random alphanumeric characters}
  • "Yeter biktik beee! Biz boyle izlemek istemiyoruz!" + {random alphanumeric characters}
  • "Yaa arkadaslar bunlari kontrol eden bir kurum yokmu! " + {random alphanumeric characters}
  • "Reyting ugruna her gun neler goruyoruz vallahi yazik!" + {random alphanumeric characters}
  • "Bizim orf adetlerimizle hic bagdasmayan seyler bunlar!" + {random alphanumeric characters}
  • "D\xFCn\'den Beri Ugra\u015Ft\u0131g\u0131m tek \u015Eey bu Video \u0130zleyin."
  • "Mutlaka \u0130zleyin g\xFCnlerdir ugra\u015F\u0131orum."
  • "Videomu \u0130zleyen Herkeze Te\u015Fekk\xFCrler."
  • "En Sevdi\u011Fim Arkada\u015Flar\u0131m :)"
  • "Ben Bu Videoyu yapmak i\xE7in g\xFCnlerimi verdim kimse izlemior."
  • "Yeni y\u0131l\u0131n\u0131z kutlu olsun arkada\u015Flar :) :D"
  • "2013 y\u0131l\u0131nda arkada\u015Flar\u0131m ile ge\xE7irdi\u011Fim en g\xFCzel anlar"
  • "Benim videomu birtek noal baba izlesin dilek diledim"
  • "Simdide \u0130nanmayinda Goreyim :)"
  • "Herkez Cesaret Edemez .."
  • "\u0130ste Size Bahsettigim Sirrim :)"
  • "Cok Utaniyorum Ama Birde Siz \u0130zleyin L\xFCtfen"
  • "Ne Kadar Cilgin Bir \u0130nsanim Ben."
  • "Nasilda Tatliyim Ama.."
  • "Dostlarimin Destegi Olmasaydi Gidemezdim.."
  • "Destek Veren Tum Dostlarimi Kutluyorum"
  • "Yetenek Sizsiniz T\xFCrkiye\'ye Kat\u0131ld\u0131m. \u0130zlerseniz Sevinirim"
  • "Bunu Yapacag\u0131m Aklima Gelmezdi :)"
  • "Destek Veren T\xFCm Arkadaslarima Tesekk\xFCr Ederim"
  • "Sonunda Bunuda Yaptim ya Helal Olsun Bana"
  • "Kim Derdiki Televizyona Cikacag\u0131m ?"
  • "Taniyanlar Ne Kadar Cilgin Oldugumu Bilir :)"

ユーザがメッセージ中の不正なリンクをクリックすると、ブラウザは以下のようなwebページを表示します。

このwebページは以下のように保存された偽の“Adobe Flash player”の更新をダウンロードし、インストールするようユーザを 誘導します。このファイルは、「TROJ_BLOCKER.J」として検出されます。

  • {user-defined download directory}\install_flashplayer13x32_23msa_aaa.aih.exe


  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 10.556.04
初回 VSAPI パターンリリース日 2014年1月22日
VSAPI OPR パターンバージョン 10.557.00
VSAPI OPR パターンリリース日 2014年1月23日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

起動中ブラウザのウインドウを全て閉じてください。

手順 3

「HTML_BLOCKER.K」 が作成またはダウンロードした不正なファイルを削除します。

    • TROJ_BLOCKER.J

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「HTML_BLOCKER.K」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください

関連マルウェア