Rovnixウイルス感染で偽画面が表示されネットバンキング不正送金被害!
 
{{{ 2016年3月 更新 }}}
 
昨日1月15日に栃木の信用金庫が発表したプレスによると、Windowsパソコンをターゲットにする Rovnixウイルス の感染が原因により口座から預金が引き出されてしまう 不正送金被害 が他行で発生したそうで被害時の状況が紹介されてます。
 
イメージ 1
 
「Rapport」のインストールを騙るウイルスによる不正送金について - 烏山信用金庫
http://www.karashin-bank.co.jp/info/pdf/rapvir.pdf
 
先週、IBM は 日本語表記の迷惑メール(スパムメール) の添付ファイルとして Rovnixウイルス がバラ撒かれてることを指摘してます。 <特に日本郵政に成りすます偽の配達通知メールがそれ!
 
Konnichiwa, Rovnix! Aggressive Malware Hits Japanese Banks - IBM Security Intelligence
https://securityintelligence.com/konnichiwa-rovnix-aggressive-malware-hits-japanese-banks/
 
去年2015年12月、セキュリティ会社セキュアブレインは Rovnixウイルス が日本のネットバンキング利用者を狙い、正規ネットバキングにログインする時に偽入力欄や偽画面が挿入される形で表示される挙動を紹介し注意喚起してます。
 
イメージ 2
 
セキュアブレイン、セキュリティ対策ソフトを推奨する偽画面を表示する不正送金ウイルス「Rovnix」に対して注意喚起 『最新のウィルス対策ソフトを使用してください。すべてのカスタマーの皆様に必要。』
http://www.securebrain.co.jp/about/news/2015/12/rovnix.html

テキトーなウイルス感染攻撃の流れ

Windowsユーザーさんは、もっともらしい内容の日本語メールに 添付されてるファイル に超警戒!
添付ファイル付き迷惑メール(スパムメール)を受信、メールの文章は日本語表記で興味を抱かせて必ずしも無視できないもっともらしい内容
● 運送会社(DHLジャパン・日本郵政・EMSジャパン)名乗って荷物の配達通知偽装
● 税務署の通知偽装
 ↓
メールに添付されてるZIP形式の圧縮ファイルを解凍すると、不正なファイルが登場!
 ↓
Windowsパソコン上でその不正なファイルをダブルクリックして踏んで起動してしまうと、最終的に Rovnixウイルス に感染してしまう
開かせようと攻撃者が企んでる添付ファイルの 種類(拡張子) は下のようなところ~。
  1. Windows Script ファイル (*.wsf)
  2. JavaScript ファイル (*.js)
  3. スクリーンセーバー (*.scr)
  4. Windows向け実行ファイル (*.exe)
ちなみに、Mac OS、Android/iPhoneスマホ、ガラケーらへんは攻撃対象外です。  (いちお海外ではネットバンキング不正送金に繋がる不正なAndroidアプリは確認されてるみたい)

Rovnixウイルス感染

あくまで外部ネットワークと接続してない状態にしておいてだけど、Rovnixウイルスを起動してみた時のレジストリの起動用パラメータの状態です。
 
イメージ 3
レジストリの起動パラメータ
 
【レジストリ】
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 値 → RSA[10ケタの数字]
 データ → C:\windows\system32\rundll32.exe "C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Crypto\RSA\RSA[10ケタの数字].dll",DllInitialize
 
【ファイル】
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Crypto\RSA\RSA[10ケタの数字].dll
 
【レジストリ】
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 値 → BackUp[10ケタの数字]
 データ → C:\Users\[ユーザー名]\AppData\Roaming\BackUp[10ケタの数字].exe
 
【ファイル】
C:\Users\[ユーザー名]\AppData\Roaming\BackUp[10ケタの数字].exe
 
手元では下の赤のレジストリ項目については確認できず、トレンドマイクロのセキュリティ情報からです。
 
> www.google.co.jp/search?q=TROJ_ROVNIX+OR+TSPY_ROVNIX+site%3Aabout-threats.trendmicro.com
関連するブログ記事