初回投稿 2016年6月18日
最終更新 2020年2月8日

<危険>Phorpiexボットネットと顔文字ウイルスメール対策3つ

Windowsをターゲットにするトロイの木馬Phorpiexボットネットによる迷惑メール送信手口。スクリプトファイルでランサムウェア感染攻撃、セクストーション脅迫ビットコイン要求、仮想通貨Moneroマイニング。

迷惑メール(スパムメール) を不特定多数にバラ撒いて、ウイルス感染させる攻撃の実例です。

メールの送信者として、ドコの誰とも分からん外国人の女性名が記載されてある Eメール で、そのメールに添付されたファイルを確認するよう誘惑する手口です。

【迷惑メール件名例 - Phorpiex スパムボット】
Always thinking about you
Are you ashamed??
Check out my photo from instagram
Do you know her?
Do you know him?
Do you know them?
Do you know this person?
Do you like it?
Do you like my photo?
Do you think I can share this picture?
Don't show anyone!
Felt in love with you!
Good enough for facebook?
I hope my photo is good enough
I hope my picture is good enough
I like this photo
I love this photo
I love you
Is my photo good enough?
Is this you?
Is this your photo?
Just for you!
Keep it private!
Keep this photo private
Keep this picture secret
Keep this picture to yourself
Keep this private
Look at this photo!
Love
Love you
My favourite photo
My friends told my pic isn't good enough
My letter just for you
My love letter for you
My new photo
My photo
My photo for you
New photo for you
Our photo
Photo just for you
Photo of last party
Photo of the day
Photo of us
Photo of you???
Picture for you
Picture of you??
Please rate my photo
Please read and reply
Rate my new photo please!
Rate my picture
Really your picture?
Seen this photo?
Should I upload this pic on instagram?
Should I upload this picture on facebook?
Someone showed me your picture
Take a look at my new picture please
Take a look please
Tell me what you think of this picture
This is my love letter to you
This is the funniest picture ever!
What do you think of my new hair?
What you think of my new hair color?
What you think of this picture?
Whats wrong with this photo?
Why you look so ugly here?
Wrote my thoughts down about you
Wrote the fantasy about us down
Wrote this letter for you
You'd Be Surprised
You are my love!
You got caught!
You like this photo?
You look good here
You look so beautiful on this picture
You look so ugly here
You really should see this
You should take a look at this picture
You will be shocked!
Your new photo?
Your opinion needed!
Your photo
Your photo isn't really that great

英語メールの件名の一部を日本語にチョイと翻訳しておくと、次のような意味になります。

  • 「この人、知ってる?」
  • 「これはあなた?」
  • 「私の新しい髪型どう?」
  • 「私の新しい髪の色どう?」
  • 「この写真、超キレイ」
  • 「この写真の感想を教えて」
  • 「この写真を Facebook にアップしていい?」
  • 「この写真を Instagram にアップしていい?」
  • 「あなたへのラブレターです」
  • 「あなたのことをいつも考えてます」
  • 「あなたと恋に落ちました」
  • 「あなたが好きです」
  • 「あなたの意見が欲しい」
  • 「私の新しい写真を評価してくれない?」
  • 「誰にも見せないで!」

また、2019年~に確認されたEメールとして、件名に 「欧米圏で使われている顔文字の記号」 「日本の有名芸能人のアルファベット表記」 が使われました。

【迷惑メール件名例 - Phorpiex スパムボット】
 :) ;) :D :* 8) 8-) :-) :-D ;-)
 :) ;) :* :D ;D ;* :-) ;-) :-*
 :) ;) :* :-) ;-) :-* :D :-D 8-) 8-D
【迷惑メール件名例 - Phorpiex スパムボット】
Yui Aragaki ;) Aya Ueto ;) Yuriko Yoshitaka ;) Erika Toda ;) Maki Horikita ;) Erika Sawajiri ;) Kyoko Fukada ;) Nozomi Sasaki ;) Hikaru Utada ;) Namie Amuro ;) Kyary Pamyu Pamyu ;) Ayumi Hamasaki ;) Sheena Ringo ;) Misia ;)
Ai Hashimoto! Ai Otsuka! Aikawa! Airi Matsui! Akina Nakamori! Alice Hirose! Angela Aki! Aoi Miyazaki! Aya Ueto! Ayaka! Ayame Goriki! Ayumi Hamasaki! Ayumi! Chara! Chihiro Onitsuka! Crystal Kay! Eir Aoi! Emi Hinouchi! Emi Takei! Erika Sawajiri! Erika Toda! Hamasaki! Haruka Ayase! Haruma Miura! Haruna Kawaguchi! Haruna Kojima! Hayashibara! Hibari Misora! Hikaru Utada! Hiroshi Abe! Hiroyuki Sanada! Honoka Miki! Izumi Sakai! Jin Akanishi! Kaela Kimura! Kana Nishino! Kanata Hongo! Kanna Hashimoto! Kasumi Arimura! Kazunari Ninomiya! Keiko Fuji! Keiko Kitagawa! Ken Watanabe! Kento Yamazaki! Kiko Mizuhara! Koichi Domoto! Kumi Koda! Kyary Pamyu! Kyoko Fukada! Maaya Sakamoto! Mai Kuraki! Maki Goto! Maki Horikita! Maki Ohguro! Mao Inoue! Mariya Nishiuchi! Masahiro Nakai! Megumi Hayashibara! Megumi Yamano! Meisa Kuroki! Mika Nakashima! Mikako Tabe! Miki Imai! Miliyah Kato! Minako Honda! Minori Chihara! Mirei Kiritani! Miyuki Nakajima! Mizuki Yamamoto! Momoe Yamaguchi! Namie Amuro! Nana Komatsu! Nana Mizuki! Nanako Matsushima! Nanase Aikawa! Norika Fujiwara! Nozomi Sasaki! Olivia Lufkin! Pamyu! Reina Triendl! Rina Aiuchi! Ringo Sheena! Rinko Kikuchi! Rosa Kato! Ryoko Hirosue! Ryuhei Matsuda! Satomi Ishihara! Satoshi Tsumabuki! Seiko Matsuda! Sho Sakurai! Shota Matsuda! Shun Oguri! Sonny Chiba! Sota Fukushi! Suzu Hirose! Tadanobu Asano! Takayuki Yamada! Takenouchi! Takeru Sato! Takeshi Kaneshiro! Takeshi Kitano! Tatsuya Fujiwara! Thelma Aoyama! Tina Tamashiro! Toma Ikuta! Tomiko Van! Tomohisa Yamashita! Tomomi Itano! Tomomi Kahara! Tsubasa Honda! Wakana Aoi! Yoko Kanno! Yoshitaka! Yu Yamada! Yui Aragaki! Yui! Yukie Nakama! Yumi Matsutoya! Yuriko Yoshitaka! Yutaka Takenouchi! Firefly

\メールの添付ファイルは? スクリプトファイル .js .vbs が危険

そんな迷惑メール(スパムメール)で手元にやって来た添付ファイルの種類は具体的に何でしょ?

次のような zip 形式 の圧縮アーカイブでした。

イメージ 1
画像? 写真?

圧縮ファイルのままでは ”武器” としての攻撃能力がサッパリ無いので、手動で展開・解凍する作業を行うと、中身はこんな感じ。

vbs-phorpiex-malspam
写真・画像ではない!

【ウイルスメール 添付ファイル例】
PIC_[数字]_2020.zip
IMG[数字]_jpg.zip
 ↓ 解凍・展開

PIC_526246_2020_jpg.vbs
IMG4956432020_jpg.vbs

イメージ 2
写真・画像ではない!

イメージ 4
Love You 愛のラブレターではない!

【ウイルスメール 添付ファイル例】
IMG[数字].jpg.js.zip
IMG[数字]-JPG.zip
PIC[数字]-JPEG.zip
IMG[数字]_2018-JPG.zip
Love_You_2018_[数字].zip
Love_You_[数字]-2019-txt.zip
Love_You_2019_[数字]-txt.zip
Love_You_[数字]_2019.zip
PIC0-[数字]2019-jpg.zip
PIC[数字]2019-jpg.zip
PIC[数字]-JPG.zip
 ↓ 解凍・展開

IMG[数字].jpg.js
IMG[数字]-JPG.js
PIC[数字]-JPEG.js
IMG[数字]_2018-JPG.js
Love_You_2018_[数字].js
Love_You_[数字]-2019-txt.js
Love_You_2019_[数字]-txt.js
Love_You_[数字]_2019.js
PIC0-[数字]2019-jpg.js
PIC[数字]2019-jpg.js
PIC[数字]-JPG.js

ファイルの拡張子に注意を払うウイルス対策

まず、ファイル名の視覚的なトリックに惑わされてはいけません。

  • 「photo」 「pic」 「picture」 「IMG」 「JPG」 「JPEG」
    → 写真や画像を見るよう誘う
     jpeg 形式の画像や写真

  • 「Love You」 「txt」
    → ラブレターの文書を読むよう誘う
     テキスト文書

ただ、Windows PC 向けの 拡張子に注意を払うウイルス対策(無料) ができているならば、メールのやり取りで送受信するファイル形式として、.js .vbs ファイルは明らかに普通ではなく異常です。

イメージ 5

このような場合に、対応が後手に回ることがあるセキュリティソフトにすべてを託さず、自力で脅威を見抜けるようにしておくのは、Windows PC のセキュリティ対策としてけっこう大事です。 <”知識” で防御を

  • ファイルの拡張子
    → 「~ .js」
    → 「~.vbs」

  • ファイルの種類
    Windows スクリプトファイル
    → 「JavaScript ファイル」 「JScript Script ファイル」
    → 「VBScript Script ファイル」


スクリプトファイルの動作環境は?

スクリプトファイル .js .vbs の動作環境は Windows XP/Vista/7/8/10 だけなので、ウイルスメールの攻撃対象は特定の環境に限定されます。

macOS → 動作しないファイル形式だから影響なし
 Android スマホ
 iOS (iPhone / iPad)
 ガラケー
人体

ランサムウェア、ネットバンキングウイルスなどに感染する

Windows ユーザーさんが、不正なスクリプトファイル .js .vbs を何気なくポチポチッとダブルクリックして開いてしまうと、バババーンと攻撃処理の発動です。

Love You、Photo、顔文字、有名芸能人の名前が登場する迷惑メールの正体は、添付ファイル型の ウイルスメール となります。

 ウイルスメールを単に受信しただけ → いっさい何も起こらない
 メールソフトのプレビュー機能 → ウイルス感染の引き金にならない


メインのマルウェアを PC に送り込む

この .js .vbs ファイルの目的は?

Windows のシステムにあらかじめ用意されてる次の正規プログラムを介して外部ネットワークに接続を試みて、何かしらマルウェアの実行ファイルをダウンロードしてきて起動する処理を含んでます。

  • wscript.exe

  • powershell.exe

  • bitsadmin.exe

正規プログラムを悪用する理由は、攻撃の妨害をしてくるセキュリティソフトの検出を効果的にスルーッとスリ抜けさせるためです。

Microsoft が開発した正規のプログラム → セキュリティソフトは脅威と判定しない
Windows のシステムに最初から用意されてある → 攻撃者は気軽に悪用し放題

ダウンロードされる実行ファイルは?

ワーム、偽セキュリティソフト、ネットバンキングウイルス、ランサムウェア、仮想通貨マイニングウイルス、バックドア、スパイウェアなど、攻撃者のその時の気分次第で変動します。




無料ウイルス対策! 100%感染被害を防げる方法

怪しいメールを開くな!』 『不審なファイルを開くな!』 といった気合で乗り切る精神論に頼っては危ない!

代わり、ウイルス感染被害を100%確実に回避できる強力な ウイルスメール対策 として、攻撃者の出鼻をボキボキボキッとくじく 不正なファイルを無害化する方法 が効果テキメンです。

  1. 無料ウイルス対策でjs/vbs/wsf拡張子ファイルの無害化
    https://fireflyframer.blog.jp/19064102.html

  2. 無料マクロウイルス対策にdoc/docm/xls拡張子ファイルの無害化
    https://fireflyframer.blog.jp/19063931.html

  3. ファイアウォールでウイルス感染防ぐ設定 セキュリティ対策の強化
    https://fireflyframer.blog.jp/19064221.html

感染手口に沿う無料ウイルス対策をあらかじめ実施してある Windows ユーザーさんは、”うっかり” をいくらやっても感染攻撃は100%失敗するから最強です。 <いっさいお金もかからない

バックヤードにワーム感染ボット Phorpiex の存在

迷惑メールがドバドバ配信される裏側がヤバい!

これはワームに分類される Phorpiex(読み方 フォーピークス、別称 Trik) に感染し、攻撃者が遠隔操作できる複数の Windows PC からメール送信が実施されています。

イメージ 6
Phorpiex ボットネット数万規模のネットワークか?
(出典 SecurityScorecard、2018年9月)

  • 〔Phorpiex ダウンローダー〕
    攻撃者の気分次第で任意の実行ファイルをダウンロードさせて起動する
    (例: Phorpiex、GandCrab Ransomware、NEMTY 2.5 REVENGE、Avaddon Ransomware、Monero XMR Miner、Raccoon Stealer、Ursnif、Predator the Thief …)

  • Windows セキュリティセンターの通知機能を無効化する
    セキュリティソフト Windows Defender を無効化して動作不能にする
    DisableScanOnRealtimeEnable
    DisableOnAccessProtection
    DisableBehaviorMonitoring
    AntiVirusOverride
    UpdatesOverride
    FirewallOverride
    AntiVirusDisableNotify
    UpdatesDisableNotify
    AutoUpdateDisableNotify
    FirewallDisableNotify
    DisableAntiSpyware

  • 〔Phorpiex ワーム〕
    USB メモリにショートカットファイルや自分自身のコピー DeviceManager.exe DriveMgr.exe を作成する
    ボットネットをダウンロードする処理 .zero セクションを既存の実行ファイルを改ざんして追加する
    既存の 圧縮アーカイブ .zip .rar の中に自分自身のコピー Windows Archive Manager.exe を追加する

  • 〔Phorpiex スパムボット〕
    マルウェア感染を意図した不正なファイル .js .vbs .doc が添付されたEメールを送信する
    仮想通貨 Bitcoin/DASH/Monero/Ethereum を要求して脅迫するEメール を送信する

  • 〔クリプトジャッキング〕
    クリップボードのコピーを監視して、Bitcoin など仮想通貨ウォレットのアドレスをコッソリ書き換える
    仮想通貨 Monero をマイニングするコインマイナーの実行ファイルを起動する

  • tcp/5900ポート VNC サーバーに脆弱なパスワードで不正アクセスして任意の実行ファイルを起動する
    tcp/139ポート NetBIOS に脆弱なパスワードで不正アクセスして任意の実行ファイルを起動する

【Phorpiex レジストリ・ファイル】
HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

値の名前 → Microsoft Windows Services
値のデータ → C:\Windows\[数字]\winsvcs.exe

値の名前 → WinCfgMgr
値のデータ → C:\Windows\[数字]\wincfg32svc.exe

Microsoft Windows Driver Configuration / Microsoft Windows Driver Manager / Microsoft Windows Installer Svc / Microsoft Windows Service Installer / Microsoft Windows Update Services / Microsoft Windows Services Mgr / Windows Security Manager / Microsoft Windows Services / Windows Security Manager 32 / Microsoft Windows Driver Service / Windows Security Svcscs / Windows Firewall Service / WCfgMgr / WDrvConfiguration / WCfgMgr32 / Windows NetBIOS Driver / NetBIOS Driver Security / Microsoft Windows Services Manager / WindowsServicesUpdates32 / Windows DDGG / Windows Update [num] / Windows Upgrade [num] / Windows Firewall Manager / Microsoft Service Manager

windrvmgr.exe windrvcfg.exe wincfg.exe wincfg32.exe wincfgrmgr32.exe windrv.exe winmgr.exe winmgr32cfg.exe winsrvc32.exe winsvcin32.exe winsvcinstl.exe winupd.exe winupd32.exe winupd32cfg.exe winupd32svc.exe winupsvcmgr.exe svchostx64.exe winsvcsmgr.exe winsecmgr.exe wincfgmgr32.exe winsvcmgrcfg.exe winsecmgr32.exe winsecmgrv.exe winupsvccfg.exe winfrwsvc.exe wcfgmgr.exe windrvconfig.exe wcfgmgr32.exe winnbsmgr.exe wnbdrv.exe winnetdrv.exe win****.exe winsvcmngr.exe winnbdrv.exe windrv32.exe
Windows Operating System / Microsoft Windows Driver / Host Process for Windows Services
sys****.exe svchost.exe
【セクストーション スパムメール】
SUBJECT
Access to your computer / Access to your pc / All in my hands / All in your hands / All your data / Backup of your data / Better pay me / Better think twice / Call me the collector / Can publish all your data / Collected all your data / Collection of your life / Dark future? / Don't ignore this / Don't ignore this mail / Don't miss your chance / Found on your pc / Good future? / Good material of you / Got everything! / Hacked you / I can publish everything / I can ruin your life / I can share everything / I got all your data / I got the power / I got video of you / I hacked you / I know all your secrets / I know everything / I know everything about you / I know your password / I publish everything! / I recorded you  / I will let everyone know / I won't wait too long / I won't warn you again / Infected / Infected your computer / Me the collector / Next time update / No longer private? / One chance / Only you can do it / Privacy / Privacy of you / Recorded you / Recorded you mastrubating / Save your ass / Save yourself / Seen you mastrubating / Shit happens / Stop mastrubate / Stuff I found / Till now all good / Video of you mastrubating / Vids of you / Waiting for payment / What if they just knew? / What if?! / You better pay / You better read this / You got infected / You got recorded / Your computer / Your computer infected / Your data / Your data no longer private? / Your future / Your infected computer / Your life / Your password is / Your privacy / Your whole privacy

BODY
Hello, some time ago your computer was infected with my private software, RAT (Remote Administration Tool).
I know your password at the time of infection was:
My software gave me access to all your accounts, contacts and it was possible to spy on you over your webcam.
I was spying on you sometimes and then once I was shocked seeing you started to MASTRUBATE! ;-D
You got 2 days time.
For a short moment I was like paralyzed and didn't knew how to react haha, but then I recorded you with the software: Bandicam, you can Google it if you want.
I can share the video of you with all your friends, contacts, post it on social networks and everywhere else.
You can stop me, send 800$ with the cryptocurrency Ethereum (ETH).
It's easy to buy Ethereum (ETH), for example here: ccswap.myetherwallet.com , btcdirect.eu , bitvavo.com , anycoindirect.eu , or Google another exchanger.
My Ethereum (ETH) wallet is: 0xB1c179C9bdD0593a2868B2aA0F469659bbf49411

Hey, your computer was infected with my private malware, RAT (Remote Administration Tool), your browser wasn't updated, in such case it's enough to visit some website with my iframe to get automatically infected, if you want to find out more, Google: Drive-by Exploit.
That's why I know your password at the time of infection was:
My malware gave me full access to all your accounts (see password above), contacts, full control over your computer and it also was possible to spy on you over your webcam.
I collected all your private data and I RECORDED YOU (through your webcam), with the software: Bandicam, SATISFYING YOURSELF!
After that I removed my malware to not leave any traces, this email was sent from some hacked server.
I can publish the video of you and all your private data on the whole web, send to all your contacts, social networks.
But you can stop me and only I can help you out in this situation.
Pay exactly 800$ in bitcoin (BTC).
It's a very good offer, compared to all that horrible shit that will happen if I publish everything.
It's easy to buy Bitcoin (BTC) for example with credit card, create your Blockchain Wallet here: https://login.blockchain.com/#/signup , verify your account and buy, you will have your own wallet on the site, so you can simply receive and send to mine.
Exchanger with more payment options: www.paxful.com , www.coingate.com , www.coinbase.com , or Google another.
My bitcoin wallet is: 181bn71YnY1erv6tjLDTqHYDSkUfcSmTVJ

Hey, your computer was infected with my private malware, RAT (Remote Administration Tool), your browser wasn't updated, in such case it's enough to visit some website with my iframe to get automatically infected, if you want to find out more, Google: Drive-by Exploit.
That's why I know your password at the time of infection was:
My malware gave me full access to all your accounts (see password above), contacts, full control over your computer and it also was possible to spy on you over your webcam.
I collected all your private data and I RECORDED YOU (through your webcam) SATISFYING YOURSELF!
I give you 5 days time to pay.
After that I removed my malware to not leave any traces, this email was sent from some hacked server.
I can publish the video of you and all your private data on the whole web, social networks, send to your contacts and friends.
But you can stop me and only I can help you out in this situation.
Pay exactly 800$ in Monero (XMR).
It's a very good offer, compared to all that horrible shit that will happen if I publish everything.
It's easy to buy Monero (XMR), for example here: www.binance.com , www.anycoindirect.eu , or Google another exchanger.
My Monero (XMR) wallet is: 4AVn2xpjY1kgj8cLfdjBwuVPEm9Tj3b5nbwizPZtDcAQT69iuPkfrdtFvNNVJMLSUYfwM2XC39BV44mTepCaTzY5NLFyGAk 46W6FCLjVTNJcaRU4nV5WRUpU1Dys3JAnCGh2TWj6SewUBrV1QKF2xtL5o3ALiJ51j9WsMoDyohQbAJtap9qefVHG37rzyz
【VNCサーバー ポートスキャン パスワード】
a aaa 0 000 1 111 1111 11111 111111 1111111 123 1234 12345 123456 1234567 12345678 123123 87654321 7654321 654321 54321 4321 321 password Password PASSWORD passwd pass pass123 admin admin1 admin123 iloveyou abc abcde abcabc asd asdf abc123 server Server SERVER srv vnc VNC vnc123 qwerty 1q2w3e computer user User USER user123 testuser test test1 testtest test123 testing internet info term terminal private data work secure changme boss desktop desk auth login temp windows pos POS help desk owner comp office pc pc123 manager web guest www public master lan setup letmein sysadmin monitor system sys operator job home shadow work123 business pw123 a1b2c3
Phorpiex C&Cサーバー】
193.32.161.69
193.32.161.77
193.32.161.73
185.176.27.132
87.120.37.235
92.63.197.225
92.63.197.190
92.63.197.153
92.63.197.60
92.63.197.59
92.63.197.38
92.63.197.48
94.156.133.65
95.81.1.43
93.126.60.109
88.218.16.27
88.218.16.42
217.8.117.63
217.8.117.10
217.8.117.43

Phorpiex セキュリティソフト検出名例】
ESET Win32/Phorpiex Win32/Phorpiex.Q Win32/Phorpiex.V Win32/Phorpiex.W Win32/Phorpiex.X Win32/Phorpiex.Y Win32/Phorpiex.AB Win32/Phorpiex.AG Win32/AutoRun.IRCBot Win32/CoinMiner.BEX PowerShell/TrojanDownloader.Agent.DV Win32/TrojanDownloader.Agent.EQH
Kaspersky Trojan-Downloader.Win32.Trik HEUR:Trojan-Dropper.Win32.Phorpiex HEUR:Trojan-Downloader.Script.Generic Trojan.Win32.Patched.rw
Microsoft Worm:Win32/Phorpiex Worm:Win32/Phorpiex.AF!bit Backdoor:Win32/Phorpiex Backdoor:Win32/Phorpiex.YP!bit Backdoor:Win32/Kirts.A Backdoor:Win32/Kirts!rfn Trojan:Win32/Kryptomix Worm:Win32/Phorpiex!lnk Trojan:Win32/Gandcrab.AF Worm:Win32/Phorpiex.G!MTB TrojanDownloader:PowerShell/Ploprolo.A TrojanDownloader:Win32/SmallAgent!MTB
Symantec Trojan.Wortrik Trojan.Wortrik!lnk ISB.Downloader!gen48
Trend Micro Worm.Win32.PHORPIEX WORM_PHORPIEX WORM_TRIK.A Trojan.INF.PHORPIEX.AVL Mal_OtorunG Worm.LNK.PHORPIEX

関連するブログ記事