【ツイートのリンクを開くとウイルス感染】It’s you on photo?またはIt’s about you?から始まる内容のマルウェアへ誘導するツイートが発見されました。

公開日時:

It’s you on photo?(あなたの写真)、It’s about you?(貴方のブログ)、 It’s about you?(あなたの事じゃない?)と問いかけて、ユーザーをリンクへ誘導するツイートが流行してます。

ツイートは無差別にリプライが飛ばされてきます。

それらの文面です。

@ユーザー名 It’s you on photo? [ドメイン]/#[ユーザー名].html

@ユーザー名 It’s about you? [ドメイン]/#[ユーザー名.html

リンクの構造、http://何らかのサブドメイン.narod2.ru/#ユーザー名.html

 

ツイートの発信元は攻撃目的で開設されたアカウントまたは乗っ取られたアカウントから行われているようで、このリンク先は、ロシア内のマルウェアが仕込まれたWEBサイトへ接続されるようになっており、WindowsPCで開くとBlackholeという脆弱性ツール悪用キットにより、マルウェアに感染させれてしまうとのこと。

 

このマルウェアサイトには難読化したjavascriptが仕込まれており、画面には何も表示されず、216.17.101.156/?2にリダイレクトされます。

 

マルウェアの種類:HEUR:Trojan.Script.Generic(トロイの木馬)

Wikipedia引用 トロイの木馬

レジストリを被害者の同意を得ずに、秘密裏に改変、削除、追加する。トロイは、被害者のネット接続設定やファイアウォールの設定を変更し、攻撃者任意のポートを開放し、外部からの接続を許可する。これにより攻撃者は被害者のパソコンを乗っ取って様々な被害をもたらす。例としてはキーロギング、プログラムの追加/削除、ファイルの追加/削除、アンチウイルスソフトの無効化、被害者のデスクトップ画面の撮影、パスワードの奪取、ウェブからの悪意あるプログラムのダウンロードなどがある。

 

 

セキュリティ企業のSophosより

http://nakedsecurity.sophos.com/2012/07/27/outbreak-blackhole-malware-attack-spreading-on-twitter-using-its-you-on-photo-disguise/

 

マルウェアサイトの情報

掲載日(新着順) ドメイン IPアドレス IPアドレス割当国
2012-07-31  narod2.ru 77.88.21.253 ロシア

くれぐれも、不審なリンクは開かないようご注意下さい。