Flash Player
2014年6月19日、ニコニコ動画の視聴中にFlash Playerのアップデートを促すポップアップが表示され、別のサイトへ誘導される仕組みが設置されていたことが明らかになりました。運営元のniconicoは、ニコニコ動画が改ざんされたのではなく広告スクリプト側に問題があったと発表しています。
広告からの誘導先には、Flash Playerのインストーラーを偽った「setup.exe」が設置されており、ダウンロードと実行を促す作りになっていました。
弊社では、この「setup.exe」がダウンロードのたびにハッシュ値を変えることを確認しています。以下は、ハッシュの一覧です。
50680e862a1df77f8340344e2b688270
6ce0ef955fa4a02a64d22d49a7b49040
a6684326c868164658f7f0943dad70cc
baf9cfadbb83410b0a92ebf365c9ec2d
0c7a81f36294a65d7e9115e763edefe1
a15815f15f8cbdd4a17a821b30a9db8b
e69312c6e0b591a71e456a468ef4db44
b0ec080f472302335aa1eed849c3489b
baf0ba40f03007991abc9f2823ff5f1f
2691d7beca434c43e695efe2d98b1863
検体の解析から、setup.exeはf.exeというファイルを生成し、実行することが明らかになりました。このf.exeは、確認したかぎり、すべて同じハッシュ値を持つ検体でした。このファイルはさらに、裏でhxxp://cdn.dow**********top.com/Installer/Buzzit2/BuzzIT2Checker11-6.exeをダウンロードして実行します。
複数の検体をサンプリング確認したところ、上記と同じ挙動を見せるものがほとんどでした。報告によると、感染後にダウンロードされる実行ファイルは複数あるようです。
カスペルスキー製品では、各ファイルを以下のように検知・ブロックします。
- setup.exe: not-a-virus:Adware.Win32.OutBrowse.g
- f.exe: not-a-virus:AdWare.Win32.OutBrowse.h
- BuzzIT2Checker11-6.exe: not-a-virus:Downloader.NSIS.Agent.hl
ヒント