最終更新日 2017年7月1日
Ramnitウイルス対策は? サイト改ざんHTML変更や実行ファイル寄生現象
Ramnit(読み方 ラムニット) と呼ばれてる Windows パソコンをターゲットにした ワーム型ウイルス に殺られてる日本の一般サイトを見つけました。 <怪しいアダ*トサイトとかではなく学校の同窓会サイト
HTMLソースを確認
→ 最後尾に不正な VBScript コード処理
【HTML に挿入される不正なコード例】
<SCRIPT Language=VBScript><!--
DropFileName = "svchost。exe"
WriteData = "英数字でかなり長いバイナリーコード"
Set FSO = CreateObject("Scripting。FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript。Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>
Windows パソコンがひとたび Ramnit ウイルスに感染すると、次の 拡張子 を持つファイルが書き換えられます。 <マルウェアの狙いは自分自身の拡散
- HTML ファイル
ホームページなどサーバー上に公開されることで、Ramnit ウイルスを意図せず配信してしまう不正なサイトに変貌する (拡張子 .html .htm)
- Windows 向け実行ファイル
PC 内のすべての実行ファイルが汚染したり、USBメモリ 内の実行ファイルが Ramnit に寄生して別の PC に持ち運ばれて意図せず配布する (拡張子 .exe)
上で紹介しした同窓会サイトの改ざん事例は、恐らく運営者が使う Windows パソコンが Ramnit ウイルスに感染 → それに気づかないまま汚染された HTML ファイルがサーバーにアップロードされた可能性があります。
Ramnit ウイルス感染症状 被害者の声
Ramnit ウイルスに感染した日本の Windows ユーザーさんのお話を Yahoo!知恵袋や Twitter から拾ってみました。
■ ホームページを作ってファイルをアップロードしたところ急激にhtmlファイルサイズが大きくなり以下の様な構文が勝手にhtmlに追加されてしまいました。
ウイルスの可能性があるかもしれません。■ 最近PCのウイルスがめっちゃ検知されます。VBS_RAMNIT.SMC というやつが全部です。明らかにウイルスじゃないファイルとかも検知されます。
前まで検知されなかったのに検知きます。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10134835715
■ DesktopLayer.exeというウイルスに感染してしまいOS再インストールをしても感染しています。
HDDは完全にフォーマットしています。多分、データーのバックアップのためにOS再インストール前のHDDから外付けにバックアップしてその感染したファイルを実行してしまったのが原因だと思います。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14126994624
■ 肝心なウイルスバスターは有効期限が過ぎてしまっているのですが、画面の右下で「すべての脅威が解決されました安全のため、一部のセキュリティ脅威が削除されました。 検出された脅威:」という通知が永遠に出続けています。
詳細を見てみると、 「ウイルス/脅威 : VBS_RAMNIT.SMC 感染源 : 不正プログラム 処理 : 駆除済み」と表記されているのですが、調べてみてもどういったウイルスなのかもわかりませんでした。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11156334741
■ heat_thinkerさんのツイート: "w32 ramnit とかいうウイルスにPCが感染していたらしく、ついさっきまで作成していたSTGbuidlerのファイルから東方まで全部削除されました"
https://twitter.com/Switch_foot2312/status/782460584029622272
Ramnit 感染によって目に見える異変は、無害で正当なファイルに 寄生 して不正なファイルと化す厄介な挙動です。
PC 内にある HTML ファイルのサイズが不自然に増加する現象や、実行ファイルが汚染してしまう現象です。
セキュリティ会社のウイルス検出名
《1》 Ramnitウイルスに寄生したHTMLファイル
ブラウザでネットサーフィン中に不正な VBScriptコード が挿入されてるウェブサイトを踏むと次のような検出名です。
【不正な VBScript コードのウイルス検出名】
avast! VBS:Dropper-DF VBS:ExeDropper-gen
Avira VBS/Ramnit.483893
BitDefender Trojan.HTML.Ramnit.A
ESET Win32/Ramnit.A
Kaspersky Trojan-Dropper.VBS.Agent.bp
McAfee W32/Ramnit.a!htm
Microsoft Virus:VBS/Ramnit.gen!A Virus:VBS/Ramnit.B
Symantec W32.Ramnit!html
Trend Micro VBS_RAMNIT.SMC HTML_RAMNIT.ALE
この HTML ファイルから作成される Windows 向け実行ファイルは、だいぶ時間が経過していて古いものが多いです。
そのため、セキュリティソフト が導入されていて、かつウイルス定義データを最新版に維持しているなら、たいてい脅威として検出できます。
MD5 ff5e1f27193ce51eec318714ef038bef
www.virustotal.com/ja/file/fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320/analysis/1280523635/
【不正な実行ファイルのウイルス検出名】
avast! Win32:GenMalicious-GOW [Trj]
Avira TR/Crypt.XPACK.AB
BitDefender Trojan.Zbot.IVF
ESET Win32/Ramnit.A
Kaspersky Packed.Win32.Krap
McAfee PWS-Zbot.gen
Microsoft Worm:Win32/Ramnit.A
Sophos W32/Ramnit-ET
Symantec Trojan.Zbot!gen9
Trend Micro BKDR_QAKBOT.SMC
別の改ざんサイトで確認したものです。
MD5 bccee9eddeda02aaed018f7df92608d6
www.virustotal.com/ja/file/4f051897980f60b55e55df30d19354d90f4198ba6092bc8718119ab39c13a176/analysis/1429281805/
【不正な実行ファイルのウイルス検出名】
avast! Win32:Virtu-A
Avira W32/Virut.Gen
BitDefender Win32.Virtob.Gen
ESET Win32/Virut.NBP
Kaspersky Packed.Win32.Krap
Microsoft Virus:Win32/Virut.BN
Sophos W32/Scribble-B
Symantec W32.Virut.CF
Trend Micro BKDR_QAKBOT.SMC
《2》 Ramnitウイルスに寄生した実行ファイル
無害な実行ファイルに寄生してウイルス化してる場合の検出名です。
【Ramnit 寄生した実行ファイルのウイルス検出名】
avast! Win32:RmnDrp
Avira W32/Ramnit.A
BitDefender Win32.Ramnit
ESET Win32/Ramnit.A
Kaspersky Virus.Win32.Nimnul.a
McAfee W32/Ramnit.a
Microsoft Virus:Win32/Ramnit.A
Symantec W32.Ramnit!inf W32.Ramnit.B!inf
Trend Micro PE_RAMNIT
対処方法は?
メインのセキュリティソフトが導入されたまま使用できる無料のウイルススキャンツール 「Microsoft Sefety Scanner」「Kasperky Virus Removal Tool」 をダウンロードしてウイルスチェックしましょう。
<2017年 追記...>
セキュリティ会社トレンドマイクロによれば、2017年から Ramnit ウイルスに日本のクレジットカード会社の機密情報を盗み取る処理が実装されてることを確認してるそう。 <クレジットカード不正利用のキッカケに
・ 金融機関の情報を窃取する「RAMNIT」、閉鎖後も不正活動を継続
http://blog.trendmicro.co.jp/archives/14493
http://blog.trendmicro.co.jp/archives/14493
この感染手口として、Windows ユーザーさんをターゲットにドライブバイ・ダウンロード攻撃が確認されてます。
ウイルス感染経路は、ネットサーフィン中に改ざんされてる一般サイトをたまたま閲覧したり、侵害された正規の広告配信サーバーが運悪く裏で読み込まれて、知らないうちに強制インストールされるパターンです。
- 毎月定例更新の Windows Update を実施せずに放置してる
https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx
- 無料ブラウザアドオン Adobe Flash Player を更新せずに放置してる
https://get.adobe.com/jp/flashplayer/about/
ウイルス対策として 「怪しいサイトにアクセスしない」 という精神論ではサッパリ意味がなく、このウイルス感染条件2つに当てはまらないように維持する 無料ウイルス対策 が Ramnit の感染を防止するキモとなります。