最終更新日 2018年3月25日

Dreambot/Ursnifウイルス感染駆除と無料対策2つ ネット銀行不正送金防ぐ♪

イメージ 1

ウイルスの感染条件は Windows パソコンであること ただ一つ!


Ursnif ウイルスとは?

海外のサイバー犯罪者が、西欧の国々を手始めに 日本 にも触手を伸ばします。

ネットバンキングクレジットカード会社 を利用してる国内ユーザーさんからの不正送金や不正利用を意図して投入されてる凶悪なマルウェア Ursnif(アースニフ) の紹介です。

セキュリティ界隈では Ursnif(アースニフ) をベースにして、匿名通信 Tor を使って C&C(コマンド&コントロール) サーバーとやり取りをする改良を施した派生ブツを Dreambot(ドリームボット) と呼称してます。

【セキュリティの脅威名】
Ursnif (読み方 アースニフ) または Gozi (読み方 ゴジ)
 → Dreambot (読み方 ドリームボット)

ただ、セキュリティ製品のウイルス検出名では、この2つを区別することなく Ursnif(アースニフ) に統一してるパターンがほとんどです。

クライムウェア 「ISFB」 の開発者であるロシア人男性は摘発済み
 └ ソースコードは別のサイバー犯罪者へ売却済み
開発に関与する関係者からソースコードが表へ複数回リークされてる
アンダーグラウンドのクローズドなコミュニティで開発が継続されてる模様
https://malpedia.caad.fkie.fraunhofer.de/details/win.gozi
https://www.ibm.com/blogs/security/jp-ja/ursnif

なお、Dreambot(ドリームボット) という名称の初出は、米国のセキュリティ会社が2016年8月に公開した記事です。

 Proofpointさんのツイート: "Nightmare on Tor Street: New Ursnif Variant Dreambot Adds Tor Functionality"
https://twitter.com/proofpoint/status/768969024252313601

日本では 「DreamBot」 と紹介してることが多いけど、本来は小文字です。

インターネットバンキングに係る コンピュータウイルスDreamBotに関する注意喚起
警察庁では、インターネットバンキングに係るコンピュータウイルスDreamBotに感染したことにより不正に窃取されたインターネットバンキングのユーザID・パスワード等が急増(平成29年7月~9月は月20件程度であったが、10月以降は月70件程度となっている。)していることを確認しています。
http://www.npa.go.jp/cyber/policy/20171211.html

銀行トロイやフィッシング詐欺、従来の脅威も未だ消えず 2018年3月 - 日経 xTECH
サイバー犯罪対策センター(JC3)は、ボタンをクリックするだけでDreamBotに感染しているかを判定するチェックサイトを無償で公開している。同センターによると、2017年3月から現在までに約33万3000件のアクセスがあり、感染しているとの判定は約560件だったという。
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00217/032200002/

Dreambot/Ursnif は大きく 2つのウイルス感染経路 が確認されてます。

なので、そのウイルス感染経路に沿った Windows PC 向けのウイルス対策2つ をあらかじめ実施しておくことがマルウェア被害をキッチリ回避する決め手です。


スマホは Ursnif ウイルス大丈夫?

Dreambot/Ursnif ウイルスは Windows XP/Vista/7/8/10 だけが動作対象なので、それ以外の環境はウイルスの影響なく大丈夫です。

macOS
 Android スマホ
 iOS (iPhone / iPad)
 ガラケー
 人体

ウイルス感染経路と対策 その1

■ 日本語ウイルスメール ← 特に活発な感染経路

必ずしも ”怪しい” と判断できない 日本語で書かれた巧妙な迷惑メール(スパムメール) が数年前から不特定多数にバラ撒かれてます。 <たとえば 「楽天市場」「楽天カード」 に成りすました迷惑メール

イメージ 4
日本語ウイルスメールで感染するマルウェアの種類
(出典 IBM Tokyo SOC Report 2017年上半期

その攻撃手口は、次の2パターンです。 <メール開封で即ウイルス感染ではない

  1. メールの添付ファイル

  2. メール本文中のリンクから不正なファイルをダウンロードする

こうして手にした不正なファイルを Windows ユーザーさんが安直にダブルクリックして開いたら感染です。 <メールを無視できずに自爆感染するのが原因

実例で学ぶネットの危険:「ディズニーランドの入場券をご獲得になりました!」 - トレンドマイクロ
「URSNIF」が感染することにより、被害者は各種金融機関やクレジットカード、仮想通貨取引所などのサイトの認証情報を詐取される可能性があります。トレンドマイクロ SPN の統計では、今回のメールから拡散された不正プログラムについて、国内で 300 台以上の検出を確認しています。
https://blog.trendmicro.co.jp/archives/16602


不正なファイルの形式は?

次のような時代錯誤の発想では Dreambot/Ursnif ウイルスに足元をすくわれます。

怪しい実行ファイルに気をつけていれば大丈夫♪

日本向けにウイルスメール攻撃キャンペーンで投入された実績のある不正なファイルの種類を具体的に挙げましょう。

スクリプトファイル … 拡張子 .js .jse .vbs .wsf

エクセルファイル(マクロ) … 拡張子 .xls .xlsm
ワードファイル(マクロ) … 拡張子 .doc .docm
ワードファイル(スクリプト埋め込み) … 拡張子 .doc .docx
エクセルWebクエリファイル … 拡張子 .iqy
ワードファイル(2017年11月修正 CVE-2017-11882) … 拡張子 .doc
ワードファイル(2017年4月修正 CVE-2017-0199) … 拡張子 .doc

ショートカット … 拡張子 なし(.lnk)
実行ファイル … 拡張子 .exe
SVGファイル … 拡張子 .svg
DOSファイル … 拡張子 なし(.pif)

セキュリティソフトは、ウイルス定義データが更新されるまで不正なファイルを Ursnif/Dreambot の脅威と判定できず、対応が後手に回る状況も普通に起こってます。

ウイルス攻撃者は、新鮮な亜種検体を逐一投入する体制でもって、セキュリティ会社の対応を出し抜こうとします。


★ Ursnif ウイルス向けの無料ウイルス対策

悪用される Windows の機能の設定を変更しておく無料ウイルス対策をオススメします。

ウイルス感染攻撃の成功率を効果的に下げる 不正なファイルを無害化 で、ヒューマンエラー(人為的ミス)が起こるのは大前提にしておくと安心です。

  1. スクリプトファイルjs/vbs/wsfの無料ウイルス対策3つ

  2. マクロウイルスdoc/docm/xlsの無料ウイルス対策1つ

  3. ファイアウォールの設定で無料ウイルス対策 wscript powershell

なお、Windows ユーザーさん自ら不正なファイルを見抜けるよう、Windows の設定の変更で ファイルの拡張子を表示する のはウイルス対策で必須です。

ウイルス感染経路と対策 その2

ドライブバイ・ダウンロード攻撃 ← 遭遇率は低い傾向

ブラウザでネットサーフィンしてる時に、ユーザーに確認する場面なく Dreambot/Ursnif ウイルスが有無を言わさず勝手に強制インストールされます。

セキュリティ用語で 「ドライブバイ・ダウンロード」 という攻撃手法です。

イメージ 6
ドライブバイ・ダウンロード攻撃は2016年以降は下火に
(出典 IBM Tokyo SOC Report 2017年上半期

ただ、この感染攻撃が成立するには2つの条件どちらかに当てはまるのが必須です。

  1. 定例更新の Windows Update が適用されていない
    (サポート終了から年月が経過した Windows XP や Windows Vista は論外)

  2. ブラウザアドオン Adobe Flash Player を最新版に更新していない
    (IE11 / Edge / Chrome / Firefox ブラウザで更新済みか確認を)

これは 、次のようなシチュエーションでウイルス感染攻撃がいきなり発動するパターンです。

  • 改ざん被害を喰らってる一般サイトにアクセスする

  • 広告配信サーバーから攻撃処理が流れてくる

そのため、巷で目にする ”怪しいサイトにアクセスしない” 的な無味乾燥のウイルス対策では大して効果がないので、ご注意ください。


やっておくべき無料ウイルス対策

残念ながら、数ヶ月、数年の単位で更新作業を平気で放置するいい加減な Windows ユーザーさんが一定数いると思われます。

ウイルス感染条件から外れるための無料ウイルス対策が確実にできてるか確認することで完璧です。 <更新済みか3点のチェックを今すぐ

【更新済みが確認する無料ウイルス対策】
https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx
https://support.office.com/ja-jp/article/2ab296f3-7f03-43a2-8e50-46de917611c5
https://get.adobe.com/jp/flashplayer/about/

危険度の高い手口が採用されてる一方、Dreambot/Ursnif ウイルスの脅威に陥落するのは、決まって次のような Windows ユーザーさんです。

○ ”対岸の火事” と思い込みセキュリティの意識が薄い無頓着なユーザーさん
○ 後手に回るセキュリティソフトを過信する自称情強なユーザーさん

Dreambot/Ursnif ウイルス感染確認

Dreambot/Ursnif ウイルスの感染確認方法を3つほど紹介します。


《1》 手動による感染確認方法

Windows のレジストリ をチェックする方法です。

Ursnif/Dreambot ウイルスの実行ファイル(.exe)、あるいはDLLファイル(.dll)を Windows 立ち上げ時に起動するパラメータがレジストリに格納されます。

イメージ 2

【レジストリとファイル パターンX】
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
名前 → [ランダム英数字(長さ8文字)]
データ → [実行ファイルのパス]

C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\[ランダム英数字(長さ8文字)]\[ランダム英数字(長さ8文字)].exe
※ ファイルパスはこのパターンに限らず変更される可能性ある

イメージ 5

【レジストリとファイル パターンY】
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
名前 → [ランダム英数字(長さ8文字)]
データ → rundll32 "[DLLファイルのパス]",DllRegisterServer

C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\[ランダム英数字(長さ8文字)]\[ランダム英数字(長さ8文字)].dll
※ ファイルパスはこのパターンに限らず変更される可能性ある

また、Ursnif/Dreambot ウイルスのいくつかの設定情報を格納しておくためのパラメータがレジストリに格納されます。

イメージ 3

【レジストリ】
HKEY_CURRENT_USER\Software\AppDataLow\Software\Microsoft\[ランダムGUID値]

ここに 「Client」「Client32」「Client64」「Install」「Ini」「Scr」「Keys」「Block」「TorCrc」「TorClient」「LastTask」「LastConfig」「CrHook」「{ランダムGUID値}」 といったパラメータが作成されます。

ランダムGUID値は {********-****-****-****-************} のパターンで16進数の英数字が並びます。



《2》 DreamBot・Gozi 感染チェックサイト

普段利用してるかに関わらず、Windows パソコンにインストールされてある次のブラウザからアクセスして、Dreamboit/Ursnif ウイルスの感染の可能性をチェックできます。

  • Internet Explorer 11
    … 確認チェック必須 (Windows 7/8/10)

  • Microsoft Edge
    … 確認チェック必須 (Windows 10)

  • Google Chrome … インストールしてる場合のみ
    Mozilla Firefox

> https://www.jc3.or.jp/info/dgcheck.html

イメージ 8

赤色のバツマーク
DreamBot又はGoziに感染している可能性が高いです
以下を参考に直ちに不正プログラムの確認、駆除等を行ってください

イメージ 7

緑色のチェックマーク
DreamBot又はGoziに感染している痕跡は確認できませんでした

Dreambot/Ursnif ウイルスと無関係な環境 Mac OS X、Android スマホ、iOS(iPhone / iPad) からアクセスするのは、判定対象ではないので完全に無意味です。


《3》 無料ウイルス駆除ツール

上2つの感染チェックは、あくまで Dreambot/Ursnif ウイルス限定です。

実行ファイル単体の配布で、メインのセキュリティソフトと併用でき、インストール作業がいらない ウイルススキャンツール が米国マイクロソフトやロシアのカスペルスキーから無料で提供されます。


Dreambot/Ursnif ウイルス以外にも既知のマルウェアを検出した場合は、無料で駆除にも対応してるので、両方を使うクロスチェックがオススメ~!

【Ursnif/Dreambotウイルス検出名例】
ESET Win32/Spy.Ursnif Win32/GenKryptik Win32/Kryptik など
Kaspersky Trojan-Spy.Win32.Ursnif Backdoor.Win32.Dreambot Trojan-Downloader.WinLNK.Powedon UDS:DangerousObject.Multi.Generic など
Microsoft TrojanSpy:Win32/Ursnif TrojanSpy:Win32/Ursnif!rfn TrojanSpy:Win64/Ursnif Trojan:Win32/Tiggre!rfn TrojanDownloader:Win32/Lonkath
Symantec Trojan.Ursnif SONAR.Ursnif!gen1 Trojan Horse Trojan.Gen.2 Trojan.Gen など
Trend Micro TSPY_URSNIF LNK_URSNIF JS_URSNIF


関連検索ワード忘備録

[Dreambot とは] [Dreambot チェック] [DreambotGozi] [Dreambot Gozi] [Dreambot 対策] [Dreambot 銀行] [ドリームボット とは] [ドリームボット 感染確認] [ドリームボット ウィルス] [ドリームボット チェック] [ドリームボット JC3] [ドリームボット 警視庁] [ドリームボット ウイルス] [ドリームボット 銀行] [Ursnif ウイルス] [Ursnif 読み方] [Ursnif とは] [Ursnif 駆除] [Uursnif 挙動] [Ursnif 楽天] [Ursnif 感染確認] [アースニフ 駆除] …

関連するブログ記事
タグ :
#Windows