産経報道のゾンビ型ウイルスとは? 確認方法、駆除、感染対策 TROJ_WERDLOD
ゾンビというと映画とかそっちの世界のお話だけど。
産経新聞が「ゾンビウイルス」「ゾンビ型ウイルス」と紹介したマルウェアの記事がチョイと話題になってますかい?
インターネットバンキングの利用者を狙った、駆除しても消えない新種ウイルスによるサイバー攻撃が、国内で4月までに666件確認されていることが2日、分かった。
新種ウイルスは、対策ソフトで駆除となった後もパソコンを誤作動させ続ける“ゾンビ型”で、利用者は暗証番号などを盗まれたことに気付かないまま現金を引き落とされる恐れがある。 (産経新聞より引用)
■ ネットバンキング利用者を狙う〝ゾンビウイルス〟…国内666件のサイバー攻撃を確認 (産経WEST)
http://www.sankei.com/west/news/150503/wst1505030024-n1.html
http://www.sankei.com/west/news/150503/wst1505030024-n1.html
ただ、記事の中身が曖昧で具体的な情報が書かれてないので、何のウイルスの話をしてるのかいまいち分からず、どんな感染回避対策をすればいいのか、怖がらせて不安を煽ってるだけ?
ウイルス検出名 WERDLOD / Retefe
産経が云う「ゾンビウイルス」「ゾンビ型ウイルス」を指すウイルスの名称は、セキュリティ会社トレンドマイクロだと WERDLOD(TROJ_WERDLOD)になります。
去年の2014年9月、トレンドマイクロのブログにて「エメンタル作戦」(Operation Emmental)という攻撃名で紹介されてます。
マイクロソフトなどは Retefe(Trojan:Win32/Retefe)となります。
■ A close look at a targeted attack delivery (Microsoft Malware Protection Center)
http://blogs.technet.com/b/mmpc/archive/2014/02/27/a-close-look-at-a-targeted-attack-delivery.aspx
http://blogs.technet.com/b/mmpc/archive/2014/02/27/a-close-look-at-a-targeted-attack-delivery.aspx
攻撃対象はWindowsパソコンと、メインじゃないけどAndroidスマートフォンで、ロシア語を話す攻撃者が欧州地域のユーザーの銀行情報を狙ってるそうで。
日本をターゲットにしたウイルスメール
この攻撃と関連し、日本人をターゲットに実行されたのが、楽天市場に成りすましたウイルスメール攻撃です。
■ 12月8日から急増の請求書偽装スパム、主な狙いは国内銀行15行の認証情報か? (トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/10558
http://blog.trendmicro.co.jp/archives/10558
■ 2014年12月 楽天市場を名乗る迷惑メール 請求書と称するウイルス危険! RTFファイル
https://blogs.yahoo.co.jp/fireflyframer/33151033.html
https://blogs.yahoo.co.jp/fireflyframer/33151033.html
■ 楽天市場ウイルス付き迷惑メール「2015/02/10日付ご注文」偽請求書RTFにご注意を
https://blogs.yahoo.co.jp/fireflyframer/33271696.html
https://blogs.yahoo.co.jp/fireflyframer/33271696.html
■ 楽天市場迷惑メール「2015/25/06日付ご注文」ウイルス感染攻撃
https://blogs.yahoo.co.jp/fireflyframer/33540245.html
https://blogs.yahoo.co.jp/fireflyframer/33540245.html
2014年12月以降、注文した商品の請求書/領収証を装った不正なRTF文書ファイルや不正な実行ファイルがメールに添付されてる形で、不特定多数にバラ撒かれました。
対策としては、ウイルスメールの手口を把握して『開くな!』としか言いようがないけど、この攻撃でうっかり開いちゃうユーザーが数千人規模で存在してるっぽく…。
ちなみに、攻撃対象はWindowsパソコンだけで、Mac OS や Android/iPhoneスマートフォンは無関係でした。
ゾンビウイルスの確認方法と駆除方法
ウイルス定義データを配信して後を追うセキュリティソフトではもう駆除できます。
ただ↓のような挙動が存在して駆除できないことから、産経の記者さんが「ゾンビウイルス」「ゾンビ型ウイルス」と書いたのネ。
パソコンの通信設定自体をも書き換えるため、設定を元に戻さなければ誤作動が続き、対策ソフトでウイルスを「駆除」した後も別のサーバーへの誘導が続行する。 (産経新聞より引用)
この設定というのは、Internet Explorer、Google Chrome、Mozilla Firefoxブラウザのプロキシ設定を改ざんし、勝手にプロキシ自動構成スクリプトを読み込むようになります。
この確認方法と一連の攻撃の時系列情報は、下の記事にて紹介してます。
■ ゾンビウイルスWERDLOD!? RTFファイル付きメールとエメンタル作戦
https://blogs.yahoo.co.jp/fireflyframer/33432553.html
https://blogs.yahoo.co.jp/fireflyframer/33432553.html
関連キーワード
このニュースを受け、Yahoo!検索の関連ワードが↓のようになってたけど、ヒットするブログ記事や まとめ の多くが、その産経新聞の記事の表現を単に書き直しただけのようなものばかりになってて…。
[ゾンビ型ウイルス 対策] [ゾンビ型ウイルス 駆除] [ゾンビウイルス 対策] [ゾンビウイルス PC] [ゾンビウイルス トレンドマイクロ] [ゾンビウイルス Mac] [ゾンビウイルス 駆除] [ウイルスバスター ゾンビウイルス] [ゾンビウイルス 駆除方法] [ゾンビウイルス 確認方法] [ゾンビウイルス ESET] [ゾンビウイルス スマホ] [ゾンビウイルス シマンテック] [ゾンビウイルス ノートン]