Skypeから送信された不審なURLを誤って開いた場合、どのようなリスクがありますか？

どのようなリスクがありますか？

コンピューターがウイルスやトロイの木馬などの悪意のあるソフトウェアに感染している可能性があります。まだ行っていない場合は、次の手順を実行する必要があります。

何をすべきか？

実行できるいくつかの手順があります。

• まず、信頼できない、または知らないリンクをクリックしないでください。
• nshortenit.it または rlex.org を使用して、短縮リンクの送信先を確認し、 virustotal.com を使用してそれらのURLを分析します
• ウイルススキャナーがあることを確認してください^*、スパイウェア対策^** ソフトウェア（およびadblockerプラグイン^*** インストール済み）
• 更新、更新、更新（オペレーティングシステムを含むすべてのソフトウェアが最新であることを確認してください）
• 全システムのウイルス対策およびマルウェア対策スキャンを実行する
• Skypeのパスワードを変更します。これは、大学の連絡先の侵害されたコンピューターが原因か、Skypeのパスワードが漏洩したことが原因であるかは不明です。
• 大学の連絡先に連絡してください、彼は感染している可能性があります

_{例：* Avira Anti-Virus 、** Spybot Search and Destroy 、*** Adblock Plus 、 Adblock =、 Block Origin}

何が原因ですか？

1. 面白くしようとしている迷惑な大学の連絡先
2. 彼のコンピュータまたはハッキングされたSkypeアカウントが、そのようなメッセージを彼のSkype連絡先に送信するために使用されている感染した大学の連絡先

追加情報

ここで使用される手法はURLの難読化であり、通常はトラフィックのリダイレクトにさまざまなURL短縮サービスまたはハッキングされたWebサイトを使用します。

URL転送の分析

以下は、URLのリダイレクト方法のトレースです。警告：これらのURLを開かないでください。

1: http://bit.ly/28PPw3V#dahubas=my_skype_id
2: http://www.shopintoledo.com/redirect.aspx?url=http://fatjtohuh.net-www-rostizado.gq/?/welcome/site/?vuhonoh
3: http://fatjtohuh.net-www-rostizado.gq/?/welcome/site/?vuhonoh
4: http://cheergoldfulsilvermotion.com/?a=370960&c=brain&s=wee
5: http://318-inteligen.cheergoldfulsilvermotion.com/intl/vwme/inteligen/

マルウェアの検出

最初の3つのURLは感染していないようです（virustotal.comの結果による）。 下の画像に示すように、最後の2つのURLは感染しているようです（ 検出率 2/67で、疑わしいマーク）。ドメインcheergoldfulsilvermotion.comの-​​ 検出率 はさらに高いようです（3/67、および疑わしいマーク）。

Sucuri sitecheck は、下の図に示すように、Webサイトで悪意のあるコードが検出されたことも示しています。ペイロードはmwjs-iframe-injected530?v22と呼ばれます。 [このレポートに関するレポート を参照してください。これは、開けないhttp://aspectsdesktoponepro.org/go.php?sid=4に関連しているようです。これは、SOPHOSアンチウイルスによって悪意のあるフラグが付けられます virustotal.com 。

高度なマルウェア分析/リバースエンジニアリング

この場合、使用されたマルウェアに対して高度なマルウェア分析またはリバースエンジニアリングを実行する場合。 たとえば、隔離された仮想マシンを使用するなど、隔離された環境で実行するようにしてください。その方法の最初のステップと最初の結果を投稿しました次の2つの場所：

• Pastebin.com
• Pastebin.com
• jsunpack.jeek.org

更新：さらに調査すると、IPアドレス5.45.81.159への接続が示されています。これは、fatgoldworkburnachieve.comおよび891-health.goldlovelyozmotion.comにも関連しています。すべてがMW:HTA:7というマルウェアに感染しているようです。 ここにレポート および ここにレポート を参照してください。とにかく、それらはすべて、最終的には非常にブラックリストに登録され、悪意のある（マルウェア）サイトとしてマークされているhttp://fgnfdfthrv.bee.pl/?q=にリダイレクトされます。リダイレクトが終了しているように見えるbee.plサブドメインで見つけた、難読化されていないJavaScriptコードは次のとおりです。

function are_cookies_enabled() {
    var cookieEnabled = (navigator.cookieEnabled) ? true : false;
    if (typeof navigator.cookieEnabled == "undefined" && !cookieEnabled) {
        document.cookie = "testcookie";
        cookieEnabled = (document.cookie.indexOf("testcookie") != -1) ? true : false;
    }
    return (cookieEnabled);
}
if (are_cookies_enabled()) {
    window.location.href = 'http://408-iq.fatgoldworkburnachieve.com/us/iwis/brain_cnn/';
} else {
    window.location.href = 'http://savethechildren.org/';
}

クッキーを有効にしている場合、悪意のあるサイトにリダイレクトされるようです。それらを無効にした場合、savethechildren.orgに送られるようですが、私には感染していないようです。 http://408-iq.fatgoldworkburnachieve.com/us/iwis/brain_cnn/は、さまざまな方法で接続するたびに異なるURLにリダイレクトするようです。私が終了した場所の例は次のとおりです。

• https://integrated-payments-zone.com/brain_int/?a=370945&click_id=06_84198625_849b0176-94f3-4b48-9746-b6122b7a9497&subid1=326965&netid=3&ver=old
• http://408-iq.fatgoldworkburnachieve.com/us/iwis/brain_cnn/
• http://108-iq.topggolddbestanyw.com/nl/xdxz/inteligen/
• http://408-iq.fatgoldworkburnachieve.com/us/iwis/brain_cnn/go.php