初回投稿 2015年12月16日

<無料>js/vbs/wsf拡張子ファイルを無害化するウイルス対策2つ

イメージ 11

手元の Windows 環境に 不審な圧縮アーカイブ (拡張子 .zip .rar) が添付された 迷惑メール(スパムメール) を受信するので、添付ファイルを展開・解凍して中身を確認すると スクリプトファイル でした。 <このファイルはいったい何?

イメージ 5
危険な Windows スクリプト ファイル
感染経路の代表例はEメール由来

Windows スクリプトファイルには 3 つの系統があります。

  1. 拡張子 .js .jse … JavaScript ファイル

  2. 拡張子 .vbs .vbe … VBScript Script ファイル

  3. 拡張子 .wsf … Windows Script ファイル

一般的に、Eメールを使ってスクリプトファイルを送受信するシチュエーションはあり得ず、たいてい マルウェア の感染を意図するウイルスメール攻撃です。 <セキュリティソフトのウイルス検出名として Nemucod という脅威が有名


スクリプトファイルの動作環境は?

  • スクリプトファイルは Windows XP/Vista/7/8/10 上でのみ動作

  • macOS、Android スマホ、iOS (iPhone / iPad)、ガラケー は無関係


スクリプトファイルとブラウザは関係性は?

  • スクリプトファイルは Internet Explorer 11、Microsoft Edge、Google Chrome、Mozilla Firefox ブラウザに実装されている JavaScript の機能とは、いちおう別モノ

  • JavaScript の制御に関連して、ブラウザ拡張機能 (NoScript、uMatrix、uBlock Origin、Adblock Plus など) の導入有無はスクリプトファイルの動作と無関係

スクリプトファイルを開いたらウイルス感染被害

ファイルの種類と危険性に関する知識を持つユーザーさんは、セキュリティソフトの力を借りることなく、怪しいファイルを自己判断で見抜けるかもしれません。

ただ、Eメールで受け取ったスクリプトファイルが危険ばブツと見抜けずに、スクリプトファイルをポチポチッとダブルクリックして開いてしまうユーザーさんが少なからず存在する現実は見過ごせません。

そこで、自分の Windws パソコン上で発生しないよう、スクリプトファイルを無害化して Windows スクリプトファイルを使った攻撃を無効化することで攻撃者を確実に出し抜く 無料ウイルス対策 を 2 つ紹介します。

  1. レジストリを変更してスクリプト実行環境の動作を変更する

  2. Windows ファイアウォールで関連プログラムの通信接続をブロックする


スクリプトファイルでウイルス感染症状は?

ちなみに、(故意に) 不正なスクリプトファイルを開いたことで ランサムウェアに感染 した瞬間のプロセスの様子がコチラ♪

イメージ 10
緑色 → 感染したランサムウェアの実行ファイル

ウイルス感染症状として紹介されていることが多い 「パソコンが重くなる」 とか 「変な画面が出る」 といった、ユーザーさんにバレバレの異常は起こりません。

ランサムウェア感染の場合、たいてい異変に気づくのは 大事な文書や写真がすべて破壊されて開けなくなった時 です。

Windows スクリプトファイルを無害化するウイルス対策2つ


《1》 レジストリでスクリプト実行環境の設定を変更する

レジストリエディタを起動 して、該当のレジストリキーを変更してください。

この設定を行うと、(1) スクリプト実行環境 Windows Script Host (WSH) を 完全に無効化 する、(2) スクリプトを処理する直前に 確認ダイアログを表示 する、といった有効なウイルス対策が実現できます。

このウイルス対策をユーザーさんに代わって行ってくれるセキュリティソフトはまず存在しません。


☆ 変更するレジストリの位置

イメージ 2
レジストリを変更する前の状態


【現在ログインしてるユーザーだけに適用する場合】
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings

【すべてのユーザーに適用する場合】
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings


この項目が存在しないならば、左側のツリーの上位 Microsoft を選択 → 右クリックメーニュー → [キー(K)] で 「Windows Script Host」 キーを新規作成してください

さらに、その下の階層に 「Settings」 キーを新規作成してください。


《Windows Script Host 実行環境の無効化》

【1】

レジストリエディタ右側の領域上で右クリックし、メニューから [新規(N)] → [DWORD (32ビット) 値(D)] をポチッとな

イメージ 6


【2】

作成された項目名を 「新しい値 #1」 を 「Enabled」 に変更する (逆に、この項目を削除すれば元に戻る)

イメージ 3 

この設定に変更すると、スクリプトファイルを開いた場合に、スクリプト実行環境が完全に無効になっている趣旨の警告ダイアログが表示されます。

イメージ 4

Windows Script Host へのアクセスがこのコンピュータ上で無効にされています。詳細については、管理者に連絡してください。 [OK]


《スクリプト実行時に確認ダイアログの表示》

【1】

(上の無効化の説明も参照) 新規項目として 「TrustPolicy」 を作成し、その項目をダブルクリックして [値のデータ] を 1 に指定する (すでに項目が存在するならば、値のデータを変更するだけで OK)

イメージ 9


【2】

同じように、新規項目として 「UseWINSAFER」 を作成し、値のデータは初期値 0 のまま

イメージ 7

この設定に変更すると、スクリプトファイルを開いた直後に確認ダイアログがバシッと表示されるようになり、スクリプトファイルを動作させても問題ないかユーザーさん対して [実行する(R)] or [実行しない(D)] の判断を仰ぎます。

イメージ 8

Microsoft ® Windows Based Script Host - セキュリティの警告
発行元を確認できませんでした。このソフトウェアを実行しますか?
名前: ~.js / ~.jse / ~.vbs / ~.wsf
発行元: 不明な発行者

不正なスクリプトファイルに対して [実行する(R)] ボタンの方をポチッと押してしまえば、さすがにもう手に負えないけれど、ウイルス感染を 100 %回避できる最後のチャンスを創り出せます。


《2》 Windows ファイアウォールで通信接続をブロックする

Windows Script Host(WSH) は Windows のシステムに存在する実行ファイル wscript.exe がその実体です。

【不正なスクリプトファイルの役割】
「ダウンローダー型トロイの木馬」 としてマルウェアの運び屋の役目
1) 外部ネットワークに接続する
2) 実行ファイル .exe や DLLファイル .dll をダウンロードしてくる
2) 裏でシレッと起動して感染させる

ここで登場するセキュリティの武器が ファイアウォール です。

ファイアウォールを使って、悪用される機会の多い実行ファイル wscript.exepowershell.exe の外部通信 (送信側、アウトバウンド通信) をあらかじめブロックしてください。

意図しないマルウェアのダウンロード処理をビシッと100%確実に遮断できて、大きな損害は回避できる効果が期待できます。

このセキュリティ対策は、Windows 7/8/10 に標準で実装されている Windows ファイアウォール でも実現可能で、様々なマルウェア感染攻撃の実害を緩和できる効果もあって、オススメです。




このウイルス対策をユーザーさんに代わって行ってくれるセキュリティソフトはまず存在しません。

スクリプトファイルのウイルス対策で効果確認方法

上で紹介したスクリプトファイルの無害化でウイルス対策の効果を目に見えて確認できる方法がコチラ♪ 


【1】

Windows のデスクトップ上で右クリックメーニュー → [新規作成(X)] → [テキスト ドキュメント] をポチッとな


【2】

新規作成された 「 新しいテキスト ドキュメント.txt 」 の拡張子のところを 「.js」 に変更して、.js ファイルをダブルクリックして開いてください。 <中身は空なので不正な処理なく安全に動作確認できる

イメージ 12

関連するブログ記事