<感染>TrojanDownloader:O97Mウイルスの正体ワードエクセル : 無題なログ

<感染>TrojanDownloader:O97Mウイルスの正体ワードエクセル

Microsoft Windows Defenderウイルス対策が検出したTrojanDownloader:O97Mウイルスとは脅威の感染経路、症状、被害を防ぐ対策。マクロウイルスは不正なOfficeファイルで、拡張子はWordワードファイル.doc .docm、Excelエクセルファイル.xlsが多い。

Microsoft Office の不正なファイルがやって来た？

マイクロソフトが提供している Windows 10 向けのセキュリティソフト Windows Defender ウイルス対策 が検疫したウイルス検出名の紹介です。

TrojanDownloader O97M Emotet Microsoft Windows Defender ウイルス対策

TrojanDownloader:O97M/Emotet.*!MTB

TrojanDownloader:O97M/AgentTesla.*!MTB

TrojanDownloader:O97M/Obfuse.*!MTB

【Windows Defender ウイルス検出名】
TrojanDownloader:O97M/AgentTesla!MTB
TrojanDownloader:O97M/Donoff
TrojanDownloader:O97M/Donoff!MSR
TrojanDownloader:O97M/Dornoe.*!ams
TrojanDownloader:O97M/Dridex.*!MTB
TrojanDownloader:O97M/Emotet
TrojanDownloader:O97M/Emotet.*!eml
TrojanDownloader:O97M/Emotet.*!MTB TrojanDownloader:O97M/Emotet.ARJ!MTB TrojanDownloader:O97M/Emotet.RR!MTB
TrojanDownloader:O97M/Emotet.*!rfn
TrojanDownloader:O97M/EncDoc.*!MTB
TrojanDownloader:O97M/MalSpam.*!MTB TrojanDownloader:O97M/MalSpam.ARJ!MTB
TrojanDownloader:O97M/Obfuse.*!MTB
TrojanDownloader:O97M/Obfuse.*!rfn
TrojanDownloader:O97M/Qakbot.*!MTB TrojanDownloader:O97M/Qakbot.PB!MTB
TrojanDownloader:O97M/Ursnif.*!MTB
TrojanDownloader:O97M/ZLoader.*!MTB
TrojanDownloader:W97M/Donoff
TrojanDownloader:X97M/Donoff
TrojanDropper:O97M/Donoff!rfn
https://fireflyframer.blog.jp/19064283.html

この中で、「TrojanDownloader:O97M/Donoff」「TrojanDownloader:O97M/Emotet」というウイルス検出名の細かいフレーズの意味はこうなります。

Trojan Downloader
（読み方：トロージャン・ダウンローダー）
実行ファイルのダウンローダー機能を持つトロイの木馬
O97M （×097M）
1997年のバージョン Microsoft Office 97 の macro （マクロ）
└ W97M … Word ファイル
└ X97M … Excel ファイル
Donoff
「download」（ダウンロード）と「office」（オフィス）に由来する表現？
Emotet （読み方エモテット）
日本も含め世界中で感染被害が発生している有名なトロイの木馬
→ Emotet ウイルス対策
Obfuse
「obfuscate」に由来する表現
セキュリティ製品の検出を回避するためマクロの処理を難読化している

…ってことで、これらのウイルス検出名の正体は、マイクロソフトが提供するオフィス製品 Microsoft Office に実装されてる Visual Basic for Application （略称 VBA）、いわゆるマクロの機能を悪用する脅威 マクロウイルス になります。

■ マクロウイルスの影響を受ける環境

マクロウイルスの感染が起こる環境は、基本的に Windows XP/Vista/7/8/10 に限定されます。

○ Windows
△ macOS … Office for Mac で影響がなくはないものの限定的

× iOS （iPhone / iPad）

× Android OS

× ガラケー

マクロウイルスの拡張子は？ファイルの感染経路は？

マクロウイルスとして採用されうるファイル形式を挙げます。

Word ファイル … 拡張子 .doc .docm
（ワード）
Excel ファイル … 拡張子 .xls .xlsm
（エクセル）
PowerPoint ファイル … 拡張子 .ppt .pptm .pps .ppsm
（パワーポイント）

感染攻撃で採用される頻度の高いファイルの拡張子は、ワードファイル と エクセルファイル になります。

■ マクロウイルスの感染経路はEメール

そんな不正なワードファイルやエクセルファイルを手にするタイミングはいつでしょうか？

感染経路の起点は、ネットサーフィン中に怪しい海外サイトで手動ダウンロードしてくるパターンではなく、十中八九 迷惑メール（スパムメール）の添付ファイル として手元に直接やって来ます。

－マクロウイルスの感染経路－
Eメール、Eメール、Eメール

Eメールの文章は英語や日本語です。

そして、次のようについつい内容を確認したくなる名目に仕立て上げておき、添付されている不正なワードファイルやエクセルファイルを開かせる攻撃手口になります。

金銭の支払い請求書
（invoice、インボイス）
荷物の配達通知
FAX やコピー複合機のデータ受信
もっともらしいビジネスメール
など

明確に、不特定多数の日本人を狙った 巧妙な日本語ウイルスメール も確認されていて、マクロウイルスの脅威は決して ”対岸の火事” ではありませんからね～。

→ 請求書メールの .xls .doc ファイルを開いたらウイルス感染

マクロウイルスの感染症状から役割は？

ウイルス検出名「TrojanDownloader:O97M/Donoff」「TrojanDownloader:O97M/Emotet」などの役割は何でしょうか？

これらダウンローダー型トロイの木馬は、外部ネットワークに接続を試みて、何かしら別のマルウェア本体（実行ファイル .exe）をダウンロードしてきてコッソリ起動する ”運び屋” を担当します。

ファイルを暗号化するランサムウェアに感染する
Locky ランサムウェア、Cerber ランサムウェア、GandCrab ランサムウェア
トロイの木馬やスパイウェアに感染する
Ursnif、Shiotob、TrickBot、Dridex、AgentTesla、Emotet

ただ、「メールソフトでEメールを受信した」「Eメールのメッセージ本文を読んだ」だけでウイルス感染被害へ一直線とは行かず、次のような作業を Windows ユーザーさんが平然とやり遂げることが感染成立に必須です。

【マクロウイルスのメール感染攻撃の流れ】
Eメールを受信する
　↓

添付されているワードファイルやエクセルファイルをダブルクリックして開く
　or
本文中のリンクや URL からワードファイルやエクセルファイルをダウンロードして開く
　↓

「Microsoft Word」「Microsoft Excel」が起動する
さらに、マクロが含まれているとしてセキュリティの警告の通知バーが表示される
　↓

通知バー上の [コンテンツの有効化] ボタンを手動でポチッと押す
　↓

不正な攻撃処理が華麗に発動して感染アウト！