HTML_BLOCKER.K

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、トルコのユーザを対象にした偽の“Adobe Flash player”を利用した詐欺に関連しています。マルウェアは、動画へのリンク付きの Facebook のメッセージを送信するために利用されます。

マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。 マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。 マルウェアは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。

侵入方法

マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

• http://www.{BLOCKED}p.us/user.php

マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。

マルウェアは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。

• JS_BLOCKER.J

その他

マルウェアは、ユーザが以下のソーシャル•ネットワーキング•サイトにアクセスした際に、特定のアカウントをフォローするよう促します。

• twitter.com
• ask.fm

マルウェアは、ユーザのFacebook上の友達のうち、現在オンラインの友達にスパムメッセージを送信します。

このメッセージは以下を含みます。

• ＜不正なリンク> -以下から取得された短縮URL
  • http://www.{BLOCKED}r.in/dropbox/up.php
• タイトル：＜友達の名前＞:Yaziklar olsun izlerken içim gitti ya.

このメッセージは以下のような画像を表示します。

マルウェアは、以下からメッセージの本文を選択します。

• "Canli yayinda giyilecek elbisemi Allah askina bu! " + {random alphanumeric characters}
• " is gercekten iyice cigrindan cikti ne olacak boyle bilmiyorum!" + {random alphanumeric characters}
• "Bunlar da hakli hic bir yetenegi olmayan insanlar sonucta bunlar!" + {random alphanumeric characters}
• " Bunlari kontrol eden kurum RTUK! gor artik bunlar ve bi cozum uret!" + {random alphanumeric characters}
• "Valla bunlarda kisilik falan kalmamis kardesim" + {random alphanumeric characters}
• "Kardesim coluk cocugumuz var bunlar iyice bozdu!" + {random alphanumeric characters}
• "Birakin artik bu isleri bizler akillandik yemiyoruz bu numaralari!" + {random alphanumeric characters}
• "Ben izledim kendimden utandim. sizde bir bakin sunlara" + {random alphanumeric characters}
• "Yeter biktik beee! Biz boyle izlemek istemiyoruz!" + {random alphanumeric characters}
• "Yaa arkadaslar bunlari kontrol eden bir kurum yokmu! " + {random alphanumeric characters}
• "Reyting ugruna her gun neler goruyoruz vallahi yazik!" + {random alphanumeric characters}
• "Bizim orf adetlerimizle hic bagdasmayan seyler bunlar!" + {random alphanumeric characters}
• "D\xFCn\'den Beri Ugra\u015Ft\u0131g\u0131m tek \u015Eey bu Video \u0130zleyin."
• "Mutlaka \u0130zleyin g\xFCnlerdir ugra\u015F\u0131orum."
• "Videomu \u0130zleyen Herkeze Te\u015Fekk\xFCrler."
• "En Sevdi\u011Fim Arkada\u015Flar\u0131m :)"
• "Ben Bu Videoyu yapmak i\xE7in g\xFCnlerimi verdim kimse izlemior."
• "Yeni y\u0131l\u0131n\u0131z kutlu olsun arkada\u015Flar :) :D"
• "2013 y\u0131l\u0131nda arkada\u015Flar\u0131m ile ge\xE7irdi\u011Fim en g\xFCzel anlar"
• "Benim videomu birtek noal baba izlesin dilek diledim"
• "Simdide \u0130nanmayinda Goreyim :)"
• "Herkez Cesaret Edemez .."
• "\u0130ste Size Bahsettigim Sirrim :)"
• "Cok Utaniyorum Ama Birde Siz \u0130zleyin L\xFCtfen"
• "Ne Kadar Cilgin Bir \u0130nsanim Ben."
• "Nasilda Tatliyim Ama.."
• "Dostlarimin Destegi Olmasaydi Gidemezdim.."
• "Destek Veren Tum Dostlarimi Kutluyorum"
• "Yetenek Sizsiniz T\xFCrkiye\'ye Kat\u0131ld\u0131m. \u0130zlerseniz Sevinirim"
• "Bunu Yapacag\u0131m Aklima Gelmezdi :)"
• "Destek Veren T\xFCm Arkadaslarima Tesekk\xFCr Ederim"
• "Sonunda Bunuda Yaptim ya Helal Olsun Bana"
• "Kim Derdiki Televizyona Cikacag\u0131m ?"
• "Taniyanlar Ne Kadar Cilgin Oldugumu Bilir :)"

ユーザがメッセージ中の不正なリンクをクリックすると、ブラウザは以下のようなwebページを表示します。

このwebページは以下のように保存された偽の“Adobe Flash player”の更新をダウンロードし、インストールするようユーザを 誘導します。このファイルは、「TROJ_BLOCKER.J」として検出されます。

• {user-defined download directory}\install_flashplayer13x32_23msa_aaa.aih.exe