次のURLは、Skypeの信頼できる連絡先(大学からのもの)から送信されたものです。
警告-何をしているのかわからない場合はクリックしないでください
http://bit.ly/28PPw3V#dahubas=my_skype_id
試験の点数だと思ってクリックしました。 savethechildren.org
にリダイレクトされました。これは疑わしいと思われたので、bit.lyリンクのURLに「+」を追加し、リダイレクト先であることがわかりました。
http://www.shopintoledo.com/redirect.aspx?url=http://fatjtohuh.net-www-rost...
これは明らかにスパムのように見えます。このリンクを誤って開いてしまった場合、どのようなリスクがありますか?私はパスワードを与えませんでしたが、私のSkypeアドレスはおそらく現在巨大なスパムデータベースに入っています。心配する必要がありますか?
コンピューターがウイルスやトロイの木馬などの悪意のあるソフトウェアに感染している可能性があります。まだ行っていない場合は、次の手順を実行する必要があります。
実行できるいくつかの手順があります。
例:* Avira Anti-Virus 、** Spybot Search and Destroy 、*** Adblock Plus 、 Adblock =、 Block Origin
ここで使用される手法はURLの難読化であり、通常はトラフィックのリダイレクトにさまざまなURL短縮サービスまたはハッキングされたWebサイトを使用します。
以下は、URLのリダイレクト方法のトレースです。警告:これらのURLを開かないでください。
1: http://bit.ly/28PPw3V#dahubas=my_skype_id
2: http://www.shopintoledo.com/redirect.aspx?url=http://fatjtohuh.net-www-rostizado.gq/?/welcome/site/?vuhonoh
3: http://fatjtohuh.net-www-rostizado.gq/?/welcome/site/?vuhonoh
4: http://cheergoldfulsilvermotion.com/?a=370960&c=brain&s=wee
5: http://318-inteligen.cheergoldfulsilvermotion.com/intl/vwme/inteligen/
最初の3つのURLは感染していないようです(virustotal.comの結果による)。 下の画像に示すように、最後の2つのURLは感染しているようです( 検出率 2/67で、疑わしいマーク)。ドメインcheergoldfulsilvermotion.com
の- 検出率 はさらに高いようです(3/67、および疑わしいマーク)。
Sucuri sitecheck は、下の図に示すように、Webサイトで悪意のあるコードが検出されたことも示しています。ペイロードはmwjs-iframe-injected530?v22
と呼ばれます。 [このレポートに関するレポート を参照してください。これは、開けないhttp://aspectsdesktoponepro.org/go.php?sid=4
に関連しているようです。これは、SOPHOSアンチウイルスによって悪意のあるフラグが付けられます virustotal.com 。
この場合、使用されたマルウェアに対して高度なマルウェア分析またはリバースエンジニアリングを実行する場合。 たとえば、隔離された仮想マシンを使用するなど、隔離された環境で実行するようにしてください。その方法の最初のステップと最初の結果を投稿しました次の2つの場所:
更新:さらに調査すると、IPアドレス5.45.81.159
への接続が示されています。これは、fatgoldworkburnachieve.com
および891-health.goldlovelyozmotion.com
にも関連しています。すべてがMW:HTA:7
というマルウェアに感染しているようです。 ここにレポート および ここにレポート を参照してください。とにかく、それらはすべて、最終的には非常にブラックリストに登録され、悪意のある(マルウェア)サイトとしてマークされているhttp://fgnfdfthrv.bee.pl/?q=
にリダイレクトされます。リダイレクトが終了しているように見えるbee.pl
サブドメインで見つけた、難読化されていないJavaScriptコードは次のとおりです。
function are_cookies_enabled() {
var cookieEnabled = (navigator.cookieEnabled) ? true : false;
if (typeof navigator.cookieEnabled == "undefined" && !cookieEnabled) {
document.cookie = "testcookie";
cookieEnabled = (document.cookie.indexOf("testcookie") != -1) ? true : false;
}
return (cookieEnabled);
}
if (are_cookies_enabled()) {
window.location.href = 'http://408-iq.fatgoldworkburnachieve.com/us/iwis/brain_cnn/';
} else {
window.location.href = 'http://savethechildren.org/';
}
クッキーを有効にしている場合、悪意のあるサイトにリダイレクトされるようです。それらを無効にした場合、savethechildren.org
に送られるようですが、私には感染していないようです。 http://408-iq.fatgoldworkburnachieve.com/us/iwis/brain_cnn/
は、さまざまな方法で接続するたびに異なるURLにリダイレクトするようです。私が終了した場所の例は次のとおりです。
https://integrated-payments-zone.com/brain_int/?a=370945&click_id=06_84198625_849b0176-94f3-4b48-9746-b6122b7a9497&subid1=326965&netid=3&ver=old
http://408-iq.fatgoldworkburnachieve.com/us/iwis/brain_cnn/
http://108-iq.topggolddbestanyw.com/nl/xdxz/inteligen/
http://408-iq.fatgoldworkburnachieve.com/us/iwis/brain_cnn/go.php
Bob Ortizの回答 で既に示したように、マルウェアには、信頼できるサイトに脆弱性が存在し、ログインされている可能性がある場合、クロスドメインの悪用による侵害が含まれます。
例えば.
つまり、使用しているサイトに対するクライアントサイト攻撃。
詳細は OWASP Top 1 を参照してください。