添付致し躯体写真? 迷惑メールjsファイル開いたウイルス感染 PowerShell悪用も
Windows パソコンをターゲットに、ネットバンキング不正送金やクレジットカード不正利用の被害に繋がる脅威 Ursnif(読み方 アースニフ)ウイルス!
そのウイルスの感染を企んだ日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。 



■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「写真を添付致します」「添付致し」。本文は添付写真の確認を求める内容になっていますが、添付ファイルは写真を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/823321976823369728
■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】ウイルス付メールが拡散中!件名は「事故状況」「事故写真です」「JPG[1/8]」。本文は添付写真の確認を求める内容になっていますが、添付ファイルは写真を装ったウイルスです。危険ですので、興味本位で添付ファイルを開いたりしないよう、十分ご注意ください。"
https://twitter.com/MPD_yokushi/status/823383744153124864
■ メール添付ファイルの形式は?
メールの添付ファイルは zip 形式 の圧縮アーカイブです。

不正なスクリプトファイル実例

アイコン画像 → 白紙に巻き物の図案
【不正なスクリプトファイル】
IMGP6119-08900-001.JPEG.js
image1,image2,image3.pdf.js
FullSizeRender.jpg.js
ユーザーさんに JPEG 形式の写真 あるいは PDF文書 と誤認してもらうため、ファイル名に 二重拡張子 を施すトラップが仕込まれてます。 

拡張子に注意を払うウイルス対策の基本ができてない Windows ユーザーさんは、地雷を自ら踏みにいくパターンですよ…。 

■ スマホはウイルス感染大丈夫?
ちなみに、ファイルの形式から Windows XP/Vista/7/8/10 以外の環境は、動作対応環境から外れて攻撃対象外となり、大丈夫です。 







js ファイル開くとウイルス感染!
仮にも Windows パソコン上で、この js ファイルをポチポチッとダブルクリックして開いたらどうなる?
手元で、実際に開いて動作確認をしてみました。 


powershell.exe の下に Ursnif ウイルス起動

ドイツのサーバーから Ursnif ウイルスを DL
- ユーザーに気づかれない裏側で…
Windows 向け実行ファイル(拡張子 .exe)がシレッと起動する症状
- バックエンドでは Windows PowerShell の悪用
欧州ドイツの正規サーバー(舟漕ぎチームのサイト?)に接続
→ アップロードされてる Ursnif の実行ファイルをダウンロードしている
【実行ファイル Ursnif】
MD5ハッシュ ad9a15dc4dfd23f79d0b4f63a789c753
www.virustotal.com/ja/file/2c894321e3a397b9ac3a0705c5446fa4d7b401417d3bcee0262c1c3057b6a608/analysis/1485128561/
今回のウイルスメールの手口で、Windows スクリプトファイルの役目は?
実行ファイル .exe をダウンロードしてくるよう、Windows の正規プログラムである Windows PowerShell に処理を投げる動作、となってました。
そこで、不正なスクリプトファイル .js を Windows ユーザーさんが ”うっかり” 踏み抜くのを大前提とした無料ウイルス対策を2つ紹介しましょう。 

【1】 スクリプトファイルのウイルス対策
ファイルの拡張子 .js の関連づけを変更する、あるいはスクリプトファイルの動作設定を変更する、をオススメします。
<数分の作業、無料

【2】 ファイアウォールを活用するウイルス対策
ファイアウォールを使って、事前に powershell.exe の外部通信を遮断してブロックしておくと、ものスゴく安心です。
ダウンロード処理に失敗すると、Ursnif ウイルスに感染しようがありません。
この無料ウイルス対策2つのイイところは、真っ先に出し抜かれて対応が後手に回る場合すらあるセキュリティソフトに託す場面なく、ウイルス感染回避が100%実現されることです。 


