web-dev-qa-db-ja.com

Skypeから送信された不審なURLを誤って開いた場合、どのようなリスクがありますか?

次のURLは、Skypeの信頼できる連絡先(大学からのもの)から送信されたものです。

警告-何をしているのかわからない場合はクリックしないでください

http://bit.ly/28PPw3V#dahubas=my_skype_id

試験の点数だと思ってクリックしました。 savethechildren.orgにリダイレクトされました。これは疑わしいと思われたので、bit.lyリンクのURLに「+」を追加し、リダイレクト先であることがわかりました。

http://www.shopintoledo.com/redirect.aspx?url=http://fatjtohuh.net-www-rost...

これは明らかにスパムのように見えます。このリンクを誤って開いてしまった場合、どのようなリスクがありますか?私はパスワードを与えませんでしたが、私のSkypeアドレスはおそらく現在巨大なスパムデータベースに入っています。心配する必要がありますか?

4
user3834459

どのようなリスクがありますか?

コンピューターがウイルスやトロイの木馬などの悪意のあるソフトウェアに感染している可能性があります。まだ行っていない場合は、次の手順を実行する必要があります。


何をすべきか?

実行できるいくつかの手順があります。

  • まず、信頼できない、または知らないリンクをクリックしないでください。
  • nshortenit.it または rlex.org を使用して、短縮リンクの送信先を確認し、 virustotal.com を使用してそれらのURLを分析します
  • ウイルススキャナーがあることを確認してください*、スパイウェア対策** ソフトウェア(およびadblockerプラグイン*** インストール済み)
  • 更新、更新、更新(オペレーティングシステムを含むすべてのソフトウェアが最新であることを確認してください)
  • 全システムのウイルス対策およびマルウェア対策スキャンを実行する
  • Skypeのパスワードを変更します。これは、大学の連絡先の侵害されたコンピューターが原因か、Skypeのパスワードが漏洩したことが原因であるかは不明です。
  • 大学の連絡先に連絡してください、彼は感染している可能性があります

例:* Avira Anti-Virus 、** Spybot Search and Destroy 、*** Adblock PlusAdblock =、 Block Origin


何が原因ですか?

  1. 面白くしようとしている迷惑な大学の連絡先
  2. 彼のコンピュータまたはハッキングされたSkypeアカウントが、そのようなメッセージを彼のSkype連絡先に送信するために使用されている感染した大学の連絡先

追加情報

ここで使用される手法はURLの難読化であり、通常はトラフィックのリダイレクトにさまざまなURL短縮サービスまたはハッキングされたWebサイトを使用します。

URL転送の分析

以下は、URLのリダイレクト方法のトレースです。警告:これらのURLを開かないでください。

1: http://bit.ly/28PPw3V#dahubas=my_skype_id
2: http://www.shopintoledo.com/redirect.aspx?url=http://fatjtohuh.net-www-rostizado.gq/?/welcome/site/?vuhonoh
3: http://fatjtohuh.net-www-rostizado.gq/?/welcome/site/?vuhonoh
4: http://cheergoldfulsilvermotion.com/?a=370960&c=brain&s=wee
5: http://318-inteligen.cheergoldfulsilvermotion.com/intl/vwme/inteligen/

マルウェアの検出

最初の3つのURLは感染していないようです(virustotal.comの結果による)。 下の画像に示すように、最後の2つのURLは感染しているようです検出率 2/67で、疑わしいマーク)。ドメインcheergoldfulsilvermotion.comの-​​ 検出率 はさらに高いようです(3/67、および疑わしいマーク)。

enter image description here

Sucuri sitecheck は、下の図に示すように、Webサイトで悪意のあるコードが検出されたことも示しています。ペイロードはmwjs-iframe-injected530?v22と呼ばれます。 [このレポートに関するレポート を参照してください。これは、開けないhttp://aspectsdesktoponepro.org/go.php?sid=4に関連しているようです。これは、SOPHOSアンチウイルスによって悪意のあるフラグが付けられます virustotal.com

enter image description here


高度なマルウェア分析/リバースエンジニアリング

この場合、使用されたマルウェアに対して高度なマルウェア分析またはリバースエンジニアリングを実行する場合。 たとえば、隔離された仮想マシンを使用するなど、隔離された環境で実行するようにしてください。その方法の最初のステップと最初の結果を投稿しました次の2つの場所:

更新:さらに調査すると、IPアドレス5.45.81.159への接続が示されています。これは、fatgoldworkburnachieve.comおよび891-health.goldlovelyozmotion.comにも関連しています。すべてがMW:HTA:7というマルウェアに感染しているようです。 ここにレポート および ここにレポート を参照してください。とにかく、それらはすべて、最終的には非常にブラックリストに登録され、悪意のある(マルウェア)サイトとしてマークされているhttp://fgnfdfthrv.bee.pl/?q=にリダイレクトされます。リダイレクトが終了しているように見えるbee.plサブドメインで見つけた、難読化されていないJavaScriptコードは次のとおりです。

function are_cookies_enabled() {
    var cookieEnabled = (navigator.cookieEnabled) ? true : false;
    if (typeof navigator.cookieEnabled == "undefined" && !cookieEnabled) {
        document.cookie = "testcookie";
        cookieEnabled = (document.cookie.indexOf("testcookie") != -1) ? true : false;
    }
    return (cookieEnabled);
}
if (are_cookies_enabled()) {
    window.location.href = 'http://408-iq.fatgoldworkburnachieve.com/us/iwis/brain_cnn/';
} else {
    window.location.href = 'http://savethechildren.org/';
}

クッキーを有効にしている場合、悪意のあるサイトにリダイレクトされるようです。それらを無効にした場合、savethechildren.orgに送られるようですが、私には感染していないようです。 http://408-iq.fatgoldworkburnachieve.com/us/iwis/brain_cnn/は、さまざまな方法で接続するたびに異なるURLにリダイレクトするようです。私が終了した場所の例は次のとおりです。

  • https://integrated-payments-zone.com/brain_int/?a=370945&click_id=06_84198625_849b0176-94f3-4b48-9746-b6122b7a9497&subid1=326965&netid=3&ver=old
  • http://408-iq.fatgoldworkburnachieve.com/us/iwis/brain_cnn/
  • http://108-iq.topggolddbestanyw.com/nl/xdxz/inteligen/
  • http://408-iq.fatgoldworkburnachieve.com/us/iwis/brain_cnn/go.php
12
Bob Ortiz

Bob Ortizの回答 で既に示したように、マルウェアには、信頼できるサイトに脆弱性が存在し、ログインされている可能性がある場合、クロスドメインの悪用による侵害が含まれます。

例えば.

  • クロスサイトスクリプティング。
  • クロスサイトリクエストフォージェリ。
  • セッション固定

つまり、使用しているサイトに対するクライアントサイト攻撃。

詳細は OWASP Top 1 を参照してください。

1
SilverlightFox