要注意 ネットバンキング狙うShiz/Shifuウイルス感染被害! 手口と対策は?
{{{ 2015年11月 更新 }}}
ネットバンキングの機密情報を盗み、深刻な不正送金被害が想定されるトロイの木馬ウイルス「Shiz」(シズ? シーズ?)または「Shifu」(シーフ)についてのメモ書きですまっす。 

ウイルス検出名「Shifu」は英語の「thief」(=泥棒)の日本語読みに由来
ちなみに、攻撃のターゲットはWindowsパソコンのみで、Mac OSやスマホ(Android、iPhone)やガラケーらへんは影響範囲外~。 





《ウイルス検出名の一例》
Microsoft TrojanSpy:Win32/Shifu.A Trojan:Win32/Pariham.A
Symantec Infostealer.Shifu
Trend Micro TSPY_SHIZ
イギリスや日本のネットバンキング利用者を特に対象としてるそうで、ロシア語の話者が開発に関与してるというお話です。
Shiz/Shifuウイルスの感染手口と被害回避対策
ネットサーフィン中に強制インストールされるドライブバイ・ダウンロード攻撃と、ウイルスメールの添付ファイルを起動する2パターンの感染経路が確認されてます。
- 悪意のある第三者に侵害された一般サイトやブログを偶然訪問する
侵害された正規の広告配信サーバーが運悪く読み込まれる
- 日本語表記のウイルスメールに添付されてるファイルを起動する
(実在企業に偽装して送信され、請求書やFax/複合機の受信通知を装う)
1番目の対策は、ユーザー自ら無料ウイルス対策を行ってウイルス感染経路を確実にふさいでおき、『怪しいサイトにアクセスしない』という無能なウイルス対策に見切りをつける。 

2番目の対策は、実在する企業に成りすまし送信者が偽装されたEメールによる攻撃手口を知り、言葉巧みに開くよう誘導される添付ファイルに注意するためファイルの形式(拡張子)の確認やマクロウイルスの対策をぜひ。 

Shiz/Shifuウイルスに感染した?
いつの間にやら知らないうちに感染してる通常のリアルな状況でないけど、故意にダブルクリックして感染させたときの状態をテキト~に… 


ドロップされた実行ファイル本体の様子
《ファイル》
C:\ProgramData\[ランダム英数字].exe
《レジストリ》
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
値の名前 → IntelPowerAgent[数値]
値のデータ → rundll32.exe shell32.dll, ShellExec_RunDLL C:\PROGRA~2\[ランダム英数字].exe
・・・
セキュリティ会社の脅威情報
■ Shifu: 'Masterful' New Banking Trojan Is Attacking 14 Japanese Banks - IBM Security Intelligence
https://securityintelligence.com/shifu-masterful-new-banking-trojan-is-attacking-14-japanese-banks/
http://asmarterplanet.com/jp-security/blog/2015/09/96.html
https://securityintelligence.com/shifu-masterful-new-banking-trojan-is-attacking-14-japanese-banks/
http://asmarterplanet.com/jp-security/blog/2015/09/96.html
■ Japanese Banking Trojan Shifu Combines Malware Tools - McAfee
https://blogs.mcafee.com/mcafee-labs/japanese-banking-trojan-shifu-combines-malware-tools/
■ Shifu Malware Analyzed: Behavior, Capabilities and Communications - iSIGHT Partners
http://www.isightpartners.com/2015/10/shifu-malware-analyzed-behavior-capabilities-and-communications/
■ Virus Bulletin : Shifu – the rise of a self-destructive banking trojan - Fortinet
https://www.virusbtn.com/virusbulletin/archive/2015/11/vb201511-Shifu
https://blogs.mcafee.com/mcafee-labs/japanese-banking-trojan-shifu-combines-malware-tools/
■ Shifu Malware Analyzed: Behavior, Capabilities and Communications - iSIGHT Partners
http://www.isightpartners.com/2015/10/shifu-malware-analyzed-behavior-capabilities-and-communications/
■ Virus Bulletin : Shifu – the rise of a self-destructive banking trojan - Fortinet
https://www.virusbtn.com/virusbulletin/archive/2015/11/vb201511-Shifu
■ TSPY_SHIZ.MJSU | 危険度: 低 | トレンドマイクロ:セキュリティ情報
http://about-threats.trendmicro.com/Malware.aspx?language=jp&name=TSPY_SHIZ.MJSU
http://about-threats.trendmicro.com/Malware.aspx?language=jp&name=TSPY_SHIZ.MJSU
■ Infostealer.Shifu | Symantec
https://www.symantec.com/security_response/writeup.jsp?docid=2015-101207-5434-99
関連ワード忘備録
[バンキングトロイ Shifu] [Shiz Shifu] [Shifu 駆除] [Shifu ウイルス] [Shifu マルウェア] [Shiz ウイルス] [Shiz 駆除] [Shiz 意味] [W2KM_SHIZ ウイルス] [Infostealer.Shifu ウイルス] [マルウェア Shiz] [Shiz トレンドマイクロ] [Shiz ウィルス] [Shiz ウイルスバスター] …