初回投稿 2014年12月24日

<危険>スクリーンセーバーscrはウイルス100%感染手口を知る

Windowsスクリーンセーバーの実行ファイル(拡張子.scr)でウイルス、マルウェア、トロイの木馬、スパイウェア感染の危険性を知るセキュリティ対策。YouTubu動画配信者やNFTデジタルアーティスト狙い「やり取り」攻撃も。

ファイル形式 (拡張子) の 「.scr」 は、スクリーンセーバーの実行ファイルで使われます。

イメージ 2
「スクリーンセーバー」 の実行ファイル例


スクリーンセーバーは画像や動画ではない

拡張子 「.scr」 (読み方 「エス・シー・アール」) は 「スクリーンセーバー」 の英語に由来します。

screen saver
× screen shot (スクリーン・ショット)
× screen capture (スクリーン・キャプチャ)
× script (スクリプト)

スクリーンセーバーは、決して画像、動画、文書で使われるファイル形式ではありません。

スクリーンセーバーは焼き付き防止からウイルスへ?

スクリーンセーバーの一般的な動作は、キーボードやマウスが一定時間使われていないタイミングで、Windows パソコンのモニター画面に 装飾的な模様動くアニメーション を表示します。

Screen Saver スクリーンセーバー 設定ウィンドウ Windows 10/11
Windows スクリーンセーバーの設定ウィンドウ

ただ、省エネの面から液晶モニターの電源は OFF にする方がよく、スクリーンセーバーの需要は以前より減っています。

スクリーンセーバーの用途
[昔] 1990 年代 ~ 2000 年代
ブラウン管 CRT ディスプレイモニターの焼き付き防止
[今] 現在の主流の液晶モニターは焼き付きの現象が存在しない
・ 単なる ”お飾り” や ”お遊び” のプログラム
・ Windows パソコンから離席した時のパスワード ロック
ウイルス感染攻撃で投入される


スクリーンセーバーは実行ファイルと同じ

スクリーンセーバーの実行ファイル (拡張子 .scr) は、内部データ的には Windows 向け実行ファイル (拡張子 .exe) と完全に同じものと考えて問題ありません。 <違いはなし

.scr = .exe

つまり、用途が Windows 向けのスクリーンセーバーである と明示されていないのに、拡張子 「.scr」 を持った素性不明なファイルの正体は、ほぼ 100% 間違いなく マルウェア (コンピュータ ウイルス) です。

【安全なスクリーンセーバーの配布サイト】
https://www.vector.co.jp/vpack/filearea/win/amuse/saver/
https://forest.watch.impress.co.jp/library/nav/genre/dktp/wpprscr_scrsvr.html

ちなみに、スクリーンセーバーの実行ファイル (拡張子 .scr) の動作環境は Windows パソコンに限定されるので、それ以外の環境では まったく動作しないファイル になります。

Windows XP/Vista/7/8/10/11
× mac OS
× Android OS
× iOS (iPhone / iPad)

スクリーンセーバーを使ったウイルス感染攻撃手口

スクリーンセーバーの実行ファイル (拡張子 .scr) をダブルクリックして開く行為は、実行ファイル (拡張子 .exe) をダブルクリックして開く行為に等しいです。

不自然な配布経路でスクリーンセーバーを掴ませるウイルス感染攻撃の手口を紹介します。


【1】 Eメールでスクリーンセーバーの配布

迷惑メール (スパムメール) の添付ファイルとして受信する、あるいはEメール本文に記載された URL リンクからスクリーンセーバーの実行ファイルをダウンロードさせる攻撃パターンです。

スクリーンセーバー添付のウイルスメール
金銭の 支払い請求書 (invoice、インボイス) を装う
運送会社を名乗り 荷物の配達通知 を装う

この時、たいてい圧縮アーカイブ (拡張子 .zip .rar) が採用されます。

Windows パソコンが侵害されるキッカケは、Windows ユーザーさんの意思で圧縮アーカイブをまずは展開 (解凍) して、スクリーンセーバーの実行ファイル (拡張子 .scr) をダブルクリックして開く手順を踏むことになります。


【2】 画像・動画・文書を確認するよう誘惑

特定 1 人のユーザーに明確に狙いを定めて敢行されるフィッシング攻撃です。

「やり取り型」 フィッシング攻撃 1
どこぞの海外企業に所属する企画担当者を名乗る攻撃者が、Eメールや SNS のダイレクト メッセージを使って直接コンタクトを取ってくる。依頼や提案に応じたターゲットがウイルス感染の餌食になる。
【YouTuber / YouTube 動画配信者】
「あなたの運営する YouTube チャンネルの内容が素晴らしい」 と英語で褒めて、商品レビューといった企業案件の提案、コラボ動画の作成を依頼する。 無題な濃いログ
YouTube チャンネルを乗っ取られて勝手に動画を投稿される被害
【イラストレーター / NFT アーティスト】
「あなたのイラストは素晴らしい」 「あなたの絵の大ファンだ」 と英語で持ち上げてデジタルアート作品の制作を依頼する。
⇒ MetaMask など仮想通貨 (暗号資産) のウォレット データを盗難されるハッキング被害

「やり取り型」 フィッシング攻撃 2
ゲームプレーヤーを装う攻撃者が、ゲーマーの集結するフォーラム、ゲーム クライアント Steam のチャット、コミュニケーション ツール Discord を使って話しかけてくる。応答したターゲットがウイルス感染の餌食になる。
ゲーマー / ゲームプレーヤー
「有料サービスが無料になる方法を教える」 「ゲーム内アイテムをタダであげる」 「開発中のゲームのテストプレイをして欲しい」 といった英語の提案で興味を引き付ける。 無題な濃いログ
⇒ オンラインゲームのアカウントハック、乗っ取られたアカウントでフレンド全員にスパムメッセージ送信、勝手にゲームを購入されるプレイされる、ゲーム内アイテムを強奪される被害

このような 「やり取り」 が事前にあって、次のような名目でファイルを確認するよう誘惑し、実際に送りつけてきたファイルの正体がスクリーンセーバーの実行ファイル (拡張子 .scr) という攻撃パターンです。

  • 「ゲーム画面」 「写真」 「イラスト」 と称する画像

  • 「資料」 と称する動画や画像

  • 「企画書」 「契約書」 「著作権侵害の調査資料」 と称する文書

  • 「チート」 「クラック」 「開発中のゲーム」 と称するプログラム

この時、たいてい パスワード付きの圧縮アーカイブ (拡張子 .zip .rar .7z) が採用されます。

圧縮アーカイブ内のファイルがパスワードで保護 (暗号化) されているので、セキュリティソフトでファイルスキャンしても 「無害」 となり、判定結果を見て安全なファイルと確信した Windows ユーザーさんは躊躇なくスクリーンセーバーを開きます。


【3】 チートツールや有償製品のクラックを装う

キャラクターを強くして対戦型オンラインゲームを有利にする 「チートツール」、購入が必要な有償製品の 「無料ダウンロード」 「クラック」 などの名目で、オンライン ストレージなどに投稿されているスクリーンセーバーをダウンロードさせます。

【マルウェア置き場に悪用されている正規サービス URL】
cdn.discordapp.com
drive.google.com
dropbox.com
github.com
raw.githubusercontent.com
mediafire.com
mega.nz
onedrive.live.com
sendspace.com

https://fireflyframer.blog.jp/19063702.html

スクリーンセーバーのウイルス対策と感染例

攻撃者が Windows スクリーンセーバーの実行ファイルを採用する理由は何…?

  1. 実行ファイルと同じように Windows ユーザーが開く行為 (ダブルクリック) で起動する

  2. 実行ファイルと同じようにアイコン画像を変更できる
    → ファイルの見た目でユーザーを騙す偽装が実現できる

  3. 拡張子 .exe と比べてスクリーンセーバーの認知度が低く警戒心が薄れる
    スクリーンショットの画像や動画と勘違いするユーザーも?

拡張子 「.scr」 に注意を払って自分の身は自分で守る
後手に回ることもあるセキュリティソフトにすべてを託さない

Windows ユーザーを狙ってスクリーンセーバー (拡張子 .scr) が投入される攻撃例です。

Windows エクスプローラでファイルの種類がスクリーンセーバーのマルウェア.exe
エクセル? ワード文書? ファックス?
→ アイコン画像が偽装されているスクリーンセーバー



関連するブログ記事