「ウイルス」タグアーカイブ

【詐欺注意・解決済】Googleメンバーシップ・リワード prizemediayou.comが突然表示される

2段構えのアドウェア(マルウェア)・ウイルス

まず、完全にスパムなので騙されないように注意

下記、注意点や解決法などを紹介。

様々なURLがあるが、今のところ
prizemediayou.com
yowwinnerprize.com
など…

「おめでとうございます!Googleをお使いのあなた!」などと表示され、iPhone XやiPad Air2が当たったとコメントが書かれている。

解決法を検索すると、
「spyhunter」などのウイルス対策ソフトをインストールしろとでてくる。
「spyhunter」ももちろんアドウェア、広告を垂れ流し続ける最低のソフトなので絶対にインストールしないこと。
 

症状

2017年ごろからから散見されるようになり、PC、スマホ(iPhone、Android問わず)、タブレットでネットを見ている時に突然表示される。
ここで個人情報やクレジットカード情報を狙われるが、絶対に入力してはいけない
 
更にやっかいなのが、Googleメンバーシップ・リワードの削除方法を検索すると、別のアドウェアの記事が多くヒットする。

Google 当選詐欺原因

原因は主に2つ。
1.閲覧中のWebサイトにマルウェアが埋め込まれている場合
2.ブラウザのアドオンなどと共に侵入してくる場合

1.閲覧中のWebサイトにマルウェアが埋め込まれている場合、これはコチラ側では対処のしようがない。

セキュリティの甘そうなWebサイト、検索下位のサイト、日本語が怪しくて自動翻訳っぽいサイト、違法ダウンロードなどの裏サイトっぽいものなどは見ないように心がけよう。

2.ブラウザのアドオン(拡張機能)やスマホのアプリに乗っかって、一緒に入って来る場合がある。
スマホアプリの場合は、最近インストールしたもの(特に公式アプリでないものは注意)をアンインストールする。
PCの場合は、ブラウザやソフトにインストールしたソフトを削除してから、ウイルス対策ソフトでスキャンしておく、などの対策で削除ができる。
 

対策

現在、最もポピュラーなアンチウイルスソフトの「Microsoft Defender」では有効な対策がとられていないと言われている。

ウイルスバスター、Avast!などのウイルス対策ソフトの、ブラウザチェッカー機能(閲覧しているWebサイトが危険でないかを見守る機能)で一定の対策が可能だとの話だが、ウイルス(スパイウェアなども)と、対策ソフトの攻防はまさにイタチごっこ。

これを入れておけば常に絶対大丈夫!という銀の弾丸は存在しない。

対策を講じつつ、もしも怪しいサイトやメールが来ても絶対に個人情報を入力しないように注意していくことが重要。

この記事も読まれています

Avast!アンチウイルスソフトがGoogleを誤検出

Avast!がまた暴走

2017年3月20日頃から、アバスト!アンチウイルスソフトがGoogleをマルウェアとして誤検出するようになった。

https://play.google.com

場所は Google Chrome のエクステンションだ。

Avastは無料のフリーアンチウイルスソフトで非常に優秀だが、年に1回ほど誤検出があって焦らせてくれる。

以前は、AvastがAvast自信をスパイウェアとして検出したりなんかもあったね~
 

対策

放置していても特に問題はない。

次のアップデートで修正されるだろう。

どうしても邪魔であれば、一時的にGoogle Chrome使用をやめて、

FireFoxなどを使ってみよう。

この記事も読まれています

アドウェアのvreXjvXにChrome.exeを乗っ取られた時のアンインストール方法。ウイルスやマルウェアを完全に削除したい。

色々な迷惑ソフト(vreXjvX、YAC、qksee、WinZipperなど)を完全に消したい

フリーウェアをインストールすると、勝手にアドウェアやウイルスまがいのソフトウェアを同時にインストールされることがある。

実際にデータの破壊を行うことはなく、邪魔な広告を表示するソフトで、ウイルスバスターやマカフィーなどのソフトでは検知されない。

手動で削除するしかないので、その方法を紹介。
 
 

代表的なアドウェア

vreXjvX-00

急にブラウザにやたらと派手な広告が出てくるようになったら、Cドライブをのぞいてみよう。

PC: Cドライブ: Program Files(x86) の中に「vreXjvX」「WinZipper」というフォルダができているなら、アドウェアに感染している。

vreXjvX-01

ちなみに、ファイルを右クリックした場合でも確認できる場合もある。

 
 

アドウェアのアンインストール

普通にアンインストールするだけでは完全に削除はできない。

たちの悪いやつは勝手に復活してくる。「vreXjvX」も勝手に復活するタイプだ。

でもまず第一歩は、手動でアンインストールするところから。

vreXjvX-1
左下の「ウィンドウズマーク」→「すべてのアプリ」→「Windowsシステムツール」→「コントロールパネル」をクリック。

vreXjvX-2

「プログラムのアンインストール」をクリック→該当プログラムを右クリック「アンインストールと変更」→「アンインストール or 削除」。

ただ、これだけで完全に削除はできないので、さらにレジストリを削除する必要がある。

 
 

レジストリの削除

vreXjvX-3

Windows10の左下のボックスで「regedit」と検索しクリック。
「このPCに変更を与えることを許可しますか?」で「はい」をクリック。

vreXjvX-4

「編集」→「検索」の順にクリック。

vreXjvX-5

検索で「vreXjvX」や「qksee」、「WinZipper」と検索して該当箇所を削除していく。

「Windowsが不安定になる可能性があります。」などと脅かされることもあるが、恐れずに消そう
ただし、ミスって他の物を消してしまわないように注意。

結構たくさん検索がヒットするはずなので、何度も「次を検索」をして、根気よく消していく。

消し終わったら、そのままレジストリーの編集画面を閉じて終わりだ。

さよなら、ゴミソフトども!

この記事も読まれています

WordPressが外部からの攻撃で nav-menu.php が書き換えられた場合の対処法

WordPressにマルウェアを送り込むソースを埋め込まれた時の対処法

JPCERT/CC や サーバーの管理会社から、下記のようなメールが届いた場合は要注意。

<div id=”zqtf” style=”display:none”>67 76 90auc 72 1-8 a7 bm,as4等の文字列が埋め込まれています。
※当該 URL を確認する際は、十分お気をつけください。確認する際は、
ブラウザのスクリプト機能を無効にするなど、影響ない環境で、
ご確認ください。
※上記は、http と :// の間を空けております。
※当該コードは Internet Explorer で確認しております。
同様の改ざんは WordPress や Joomla などの CMS を使用したサイトで確認
されており、”//istart” や “//iend” のような文字列が埋め込まれていまし
た。CMS に関連するファイルを一度ご確認願います。

でも、対応は簡単なので、すぐに対処しよう。

JPCERT/CCとは?

一般社団法人 JPCERTコーディネーションセンターの略で、簡単に言うと、セキュリティ関連の注意喚起をしている機関。

 
 

原因と攻撃の経路

これは、Wordpress 4.4系より前バージョンのセキュリティホールを狙ったものだ。もちろんサーバーの状況などにより、Wordpress4.3以前のバージョンでも攻撃されない場合もある。

ちなみに、ロリポップ、お名前.comは特に多くの被害が報告されている。

→ マルウェアを埋め込まれると、ブラウザでのデータのやり取りが外部に送信されるので、メールフォームなどを設置している場合は特に注意が必要。

簡単に特定でき、修正もできるので、被害が発生する前に対処しよう。

WordPressの場合
/wp-includes/nav-menu.php
/wp-admin/includes/nav-menu.php

この2種類のファイルが狙われ、ソースコードの中に //istart//iend というコードが埋め込まれてしまう。

acreport-cms_01

FTPソフトで、/wp-includes/nav-menu.php/wp-admin/includes/nav-menu.php の2つのファイルを確認し、 istart と検索して、該当があれば攻撃されている。

//istart から //iend までのソースを全て削除すれば、ひとまず脅威はなくなる。

その後、再度同じ被害にあわないように、WordPressを最新にアップデートしておくこと。

既にWordpressが最新の場合は、サーバーの設定に問題がある。

海外からの管理画面や、コアファイルへのFTPアクセスをを全て拒否する設定する。
管理画面にBASIC認証を設定する。

などの対策が有効。

 

この記事も読まれています