この写真を見てURL Skypeチャットでウイルス拡散注意 Phorpiexワーム

イメージ 2

マイクロソフトが提供する無料インターネット電話 Skype(スカイプ) のチャット経由で拡散してる不正なスパムメッセージが確認されてます。

【Skype スパム】
この写真を見て [URL]

何とも変てこりんなメッセージだけど、Skype で繋がる 知り合いからメッセージが送られてくる特徴 があり、かなり厄介です。

つまり、スパムメッセージを無視することが難しく、誘導リンクとして短縮URLサービス(goo.gl、bit.lyらへん)の URL をポチッとクリックしたい衝動を抑えられません。

ダウンロードされるのはスクリーンセーバー

Skype のスパムメセージから、zip 形式の圧縮ファイルがダウンロードされるので、その中身を知るため手動で展開・解凍してみると…

イメージ 1
ナゾの外国人の写真? 誰だよw

【Skypeチャットで拡散する不正ファイル】
PICT[数字]-JPG.zip
PIC[数字]-JPG.zip
IMG[数字]-JPG.zip
 ↓ 展開・解凍

PICT[数字]-JPG.scr
PIC[数字]-JPG.scr
JPG[数字]-JPG.scr

ただ、ユーザーをダマして踏み抜いてもらうトリックとして、頭の中では ”写真” が送られてきたと刷り込ませようと、攻撃者のたゆまぬ偽装が光ります。

  1. ファイル名ににもっともらしい単語
    「PIC」「PICT」「IMG」「JPG」

  2. 実行ファイルのアイコンを 写真風 に偽装
    jpeg形式の写真がサムネイル(縮小版) で表示されてると錯覚する

ファイルの拡張子 .scr の種類は、Windows 向けのスクリーンセーバー です。

こんなスクリーンセーバーのファイルを Skype 上でやり取りするなんぞ 100%ゼッタイにあり得ないお話ですな。 <スクリーンセーバー .scr は実行ファイル .exe と同等の形式!

起動すると Phorpiex ワームに感染!

道に落ちてる食べ物を拾い食いする』 のと同じ?

このスクリーンセーバーのファイル .scr をポチポチッと ダブルクリック して起動してしまうと、当然ごとくウイルス感染 The End!

スパムメッセージの URL をクリックすると、有無を言わさず勝手にワームに強制感染するワケではなく、あくまで感染に至る作業を Windows ユーザーさんの意思で進めなくてはいけません。

ファイルの正体は Phorpiex という名称でワームに分類されてる脅威です。

  • WORM_PHORPIEX -Trend Micro
    https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/search/worm_phorpiex

  • Worm:Win32/Phorpiex - Microsoft
    https://www.microsoft.com/en-us/wdsi/threats/threat-search?query=Win32/Phorpiex

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

値の名前 → Microsoft Windows Manager
値のデータ → %USERPROFILE%\M-[数字]\winsvc.exe
値のデータ → %USERPROFILE%\M-[数字]\winmgr.exe

  • 感染した Windows PC にインストールされてる Skype(Skype API) を使って同じスパムをドバドバとバラ撒いて、感染ユーザーをネズミ算式に増やそうとする
     
  • 感染した Windows PC に仮にも USB メモリが接続されている場合は、不正なショートカットファイルと自分自身の Phorpiex ワームのコピーが作成される

USB メモリの感染手口は、マイクロソフトのブログ記事で情報やイメージ画像が公開されてました。

Smoke and mirrors and Win32/Phorpiex - Microsoft
https://blogs.technet.microsoft.com/mmpc/2012/11/15/

攻撃者側は、ウイルス検体ファイルの差し替えを頻繁に実施してるので、脅威と判定されない亜種検体ファイルが逐一投入されてる状況です。

セキュリティソフトのウイルス定義データでは後手に回るので、この手の対策ソフト を過信しすぎないよう、ファイルの拡張子の知識で徹底対抗です。


関連するブログ記事