Java等の自動アップデート画面を詐称されたら？

JREやAdobeのFlashPlayer、AdobeReaderなどは、自動アップデート機能がバックグラウンドで動いており、アップデートがあれば自動でウィンドウが立ち上がり、アップデートをユーザーに促してきます。

この際、UACがアップデートの許可を求めてきますが、もし仮に全然別のウィルスがそれらアップデートの画面と全く同じものを表示してきてユーザーに許可を促す、ということはありうるのでしょうか？
ありうる場合、「ウィルスの騙りではなく正真正銘Javaのアップデートである」判断する方法はあるのでしょうか？
今まで「Javaのアップデートなら」とそのままOKしていましたが、詐称されていたらどうなるんだろう、と恐くなりました。

アップデートの有無の判断だけやらせて、更新自体は手動でWebサイトからやれば安全そうですが、できれば
自動アップデートの告知⇒その画面からアップデートを開始する
という流れはそのままにしたいのですが。

No.1 回答者： nekobox 回答日時： 2013/02/17 22:26

こんにちは。

セキュリティー通のnekoboxと申します。

JavaのUpdate Schedulerに成り済ました外部への通信を可能にさせるある有名な海外製マルウェアビルドツールの画面お見せします。

この例ではわざわざアップデートダイアログなんぞ表示させまんｗ。


こうした高度な内容はここのカテでは私しか解説できないから注意して下さい。

No.2 回答者： nekobox 回答日時： 2013/02/17 23:05

ちなみに、成り済ましに一番利用されるのなんと言ってもデフォブラウザです。

言うまでもなく、使用頻度が一番高く信頼プログラムとして登録されてるからです。

こういうのProcess Injectionって言うんですよ。


先の画面よーく見ると・・・・・・・

No.3 ベストアンサー 回答者： nekobox 回答日時： 2013/02/18 13:20

はい、これ

やったばっかの動作検証

新Kingsoft Internet Security 2013の一つの売りである外部からのWebCam操作防止機能は有効のようです。

起動元がJava Update Schedulerになってるのがわかるかな？　要はマルウェアによる他のプロセスへのなり済ましが行われています。

日頃、システム上でどんなプロセスが動いているかざっとでも把握してると違うんだよね。


http://www.dailymotion.com/video/xxkz7a_yyyyyrem …




話変わるけど、異変を察知できた人↓

http://www.nhk.or.jp/gendai/kiroku/detail02_3263 …


「CPU使用率が・・・・・・・・・」

No.4 回答者： nekobox 回答日時： 2013/02/19 22:32

追加実験

http://www.dailymotion.com/video/xxmb8t_yyyyyrem …



参考まで

この回答へのお礼

遅くなって申し訳ありません。
レスありがとうございます。

自分としてはプロセスの成りすましといっても「実行ファイル名が同じ」位かと思ってたのですが、ファイヤーウォールが信頼したプロセスだと勘違いするレベルだと大分困りますね。

仮に、今目の前にUACによって「アップデートしていいか？」というダイアログが出てきた場合、これが正当なものかどうか調べるためにはどのようなツールを使用してどのように確かめればいいのでしょうか？

そもそもファイヤーウォールをすり抜けられてる時点でもう手遅れな気がしますけど……

お礼日時：2013/02/20 18:26