Mal/DrodZp-Aウイルスとは? Sophosがzip圧縮ファイル検出の巻

イメージ 3

法人企業向けのセキュリティ製品や Apple macOS 向けの無料ウイルス対策ソフトを提供している英国のセキュリティ会社 Sophos(ソフォス)

イメージ 1
ソフォス

そんな Sohpos が報告するウイルス検出名を1つを紹介します。

Mal/DrodZp-A とは

Mal/DrodZp-A ウイルスについて Sophos 公式の説明と、その日本語の意味はこんな感じ~。

Mal/DrodZp-A is an archive with malicious content. It often has a filename that uses social engineering to encourage recipients to open it, for example by pretending to be an invoice or order receipt. Mal/DrodZp-A is typically seen as an attachment in spam email messages.
https://www.sophos.com/ja-jp/threat-center/threat-analyses/viruses-and-spyware/Mal~DrodZp-A/
〔意味〕 Mal/DrodZp-A は悪意のあるコンテンツが含まれる圧縮アーカイブです。たとえば、インボイス(請求書)や注文の領収書に見せかけるといった ソーシャル・エンジニアリング を駆使して、Eメール受信者が開くたくなるファイル名になっています。Mal/DrodZp-A は一般的にスパムメールのメッセージの添付ファイルで確認されます。

  1. ファイルはどこからやって来る?

  2. 中身の不正なファイルはどんな種類?

  3. Mal/DrodZp-A が影響する環境は?

  4. 圧縮ファイルの解凍・展開だけでウイルス感染!?

  5. Mal/DrodZp-A を駆除して削除する方法は?

1. ファイルはどこからやって来る?

検出ファイルは、具体的に zip 形式 あるいは rar 形式 の圧縮アーカイブです。

イメージ 2
Mal/DrodZp-A ウイルスの画像
.zip ファイルそのものに危険性はない

その他、同じように圧縮アーカイブ向けのウイルス検出名がコチラ♪

  • Mal/DrodZp-A … zip 形式 (拡張子 .zip) / rar 形式 (拡張子 .rar
    Mal/BredoZp-A Mal/BredoZp-B

  • Mal/Drod7zip-A … 7-zip 形式 (拡張子 .7z)

  • Mal/DrodCab-A … cab 形式 (拡張子 .cab)

  • Mal/DrodLzh-A … lha 形式 (拡張子 .lzh)

  • Mal/DrodAce-A … ace 形式 (拡張子 .ace)

  • Mal/DrodArj-A … arj 形式 (拡張子 .arj)

  • Mal/DrodGzip-A … gzip 形式 (拡張子 .gz)

このような不正なファイルが手元にやって来る経路は、次の2パータンです。

  1. 英語、場合によっては日本語の Eメール に添付されている
    あるいは、メール本文中のリンクからダウンロードできる
    → 定番の ウイルス感染を意図した迷惑メール
     
  2. SkypeFacebook のチャットを介して知り合いのアカウントから送信されてくる
    └ アカウントが悪意のある第三者に乗っ取られて成りすましされているパターン

このウイルス検出名だけだと、どのような感染症状を起こすマルウェアなのか種類も含めてなかなか判断が難しいです。

ネットバンキングウイルス ?
ランサムウェア
バックドア ?

2. 中身の不正なファイルはどんな種類?

圧縮アーカイブということは、あくまで その中身のファイル が危険となります。

ユーザーさんが仮に圧縮アーカイブを手動で解凍・展開してみると、中から次のような 拡張子 を持った不正なファイルが登場するはずです。


■ Windows スクリプトファイル系の拡張子

  • .js .jse … JScript Script ファイル / JavaScript ファイル

  • .vbs … VBScript Script ファイル

  • .wsf … Windows Script ファイル

  • .hta … HTML アプリケーション

このファイルそのものを Sophos は 「Troj/JsDwnldr」 「Troj/JSDldr」 「Troj/VBSDl」 「JS/DwnLdr」 「JS/Dldr」 「VBS/DwnLdr」 「VBS/Dldr」 「VBS/DownLd」 「VBS/Agent」 「Troj/VbsDldr」 と検出する場合アリ


■ Windows アプリケーション系の拡張子


2015年らへんから、スクリプトファイル を送りつけるウイルスメールはけっこう多いです。

見慣れないスクリプトファイルの形式が気になって、スクリプトファイルをポチポチッとダブルクリックして ”うっかり” 踏み抜きかねないから、注意が必要です。 <スパムメールフィルタやセキュリティ製品のスリ抜けも起こる形式


3. Mal/DrodZp-A が影響する環境は?

圧縮アーカイブの中身は、Windows パソコン (Windows XP/Vista/7/8/10) だけ影響します。

  • Windows → ファイルが動作する環境で影響あり

  • macOS → ファイルが動作しないため影響なし
  • Android OS
  • iOS (iPhone / iPad)
  • ガラケー

なお、Sophos は Mac や Android スマホ向けのウイルス対策ソフトを提供しているけど、Windows ユーザーを狙ったウイルスメールを受信したら、Mac やスマホに影響がなくても検出します。

4. 圧縮ファイルの解凍・展開だけでウイルス感染!?

誤解してるユーザーさんがいらしゃる?

ウイルス感染の引き金は、Mal/DrodZp-A の中身の 不正なファイル をWindows パソコン上でポチポチッと ダブルクリックして開いた 場合に限定されます。 

【ウイルスメールで攻撃される流れ】
迷惑メールで圧縮アーカイブを受け取る
(Mal/DrodZp-A 検出)
 ↓

圧縮アーカイブをユーザーが手動で展開・解凍する
 ↓

中から不正なファイルが登場し、ユーザーの意思でダブルクリックして開く
 ↓

ウイルス感染!!!

「怪しいメールを受信した」
「よく分からない英文メールのメッセージを読んだ」
「圧縮アーカイブを展開した」

これだけで、いきなり 勝手にウイルスが起動して即感染は通常ありません


ちなみに、メール開封による メッセージのプレビュー機能 でウイルス感染 はありません。 <だいぶ前で15年近く前の攻撃手口で今は通用しない


5. Mal/DrodZp-A を駆除して削除する方法は?

ウイルスメールそのものは、メールソフトに実装されているスパムフィルタ機能の振り分け処理で <迷惑メールフォルダ> へ移動されてるなら、ウイルスメールを破棄するなりご自由に。

Mal/DrodZp-A ファイルを手動で駆除・削除するには、zip 圧縮アーカイブそのものをゴミ箱へポイッ!で完了。
関連するブログ記事