無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

【PR】 シャープのノートパソコンノートパソコン dynabook楽天市場Yahoo!ショッピング で販売中。インテルCore、ウェブカメラ内蔵の最新モデルが送料無料で価格価格8万円から♪

Happy99.exeウイルス感染体験 花火のウィンドウ画面が表示される症状

イメージ 5

だいぶ前の1999年1月に登場した

Happy99
(ハッピー・ナインティーナイン)

という Windows 向け コンピュータウイルス(脅威の分類では ワーム) を手元で起動して感染体験してみました。

イメージ 1
アイコンもない Windows 向け実行ファイル
拡張子 .exe)

これは15年以上も前の ”化石” ウイルスなので、今現在は蔓延してません。


実行ファイル .exe を起動すると…

Happy99.exe ファイルを起動するとどうなる?

縦長の長方形のウィンドウ画面が出現して、その画面内では 花火 が爆発して飛散し火の粉が落ちるという、アニメーションが表示されます。 <ハッピー?

イメージ 2
花火が上がって新年のお祝い?
Happy99ウイルス発病画面

花火や火の粉といっても、それを ドットの点 で単に再現しているだけで、グラフィックス描画的に見とれてしまうとは言い難いです。 <綺麗?

ウィンドウのタイトルは 『Happy New Year 1999 !!』 となっていて、1999年の新年おめでとうとお祝いしますが、これはあくまで表面的な症状です。

Happy99 の目的は? 自分自身の拡散

今ではとても考えられないけど、Happy99 は感染パソコンから重要な情報を盗んだりする金目当ての挙動は特にありません。

ワームとして、とにかく Happy99 自身の拡散を試みる以上の機能は存在しません

Happy99 ウイルスに巡り合ったユーザーさんのリアル体験話を拾ってみました。

ウイルス感染記 1999年4月25日
http://www.jasnaoe.or.jp/k-senior/old/DOC/Virusmemo.html

第26回 「Happy 99をGET!」ほぼ日刊イトイ新聞 - 総武線猿紀行
https://www.1101.com/saeki/archive/1999-04-24.html

ウイルスにご注意を
http://www.geocities.co.jp/SiliconValley-SanJose/3588/contents/happy99.htm

懐かしのウィルス Happy99 : 湘南のJOHN LENNON Those were the days
http://qunny1130.exblog.jp/5582805/

番外.『 コンピュータ・ウイルス 感染記』 Zakkaya Weekly No.145
http://www.zakkayanews.com/zw/zw145.htm

ハッピー99 ウィルスに感染か?
http://web.archive.org/web/*/page.freett.com/tukasa2/happy.html

Happy99.exe って何? ウィルス? | WebBoard Windowsの部屋
http://www.host.or.jp/cgi-win/webboard/wb_cont.exe?windows+g+20007+NAME

ウイルス感染始末記
http://ykousaka.world.coocan.jp/virus.htm

MCMRつれづれ日記(03月21日号)
http://mazin07.com/srw-fan/srw-fan/990321.html

ウイルス!?
http://tenjin.coara.or.jp/insider/2000/6gatu/0606_2/

Happy99届く(2000/10/30) 元脱サラ調査士 身辺雑記
http://www.asakaze.net/datusara/zakki.html#011

ウイルスの部屋 はじめてコンピューターウイルスに遭遇!
http://www.factorytakayama.net/uirusu.htm

1998年度近況報告 1999/03/03 自宅のコンピュータがウィルスに感染してしまいました。
http://www.cc.kyoto-su.ac.jp/~yamadaka/data/teacher-kinkyo98.htm

女性システム管理者の憂鬱:ウイルス作者もびっくりの強力な応援団 - ITmedia
http://www.itmedia.co.jp/enterprise/articles/0609/14/news007.html

知り合いから、添付ファイル Happy99.exe が付いたメールが届く!?

そんなシチュエーションなので、躊躇せず実行ファイルを踏み抜いて、『花火が上がる面白いソフトを友人が送ってきた』 と勘違いする Windows ユーザーさんが当時は出現したようです。 


システムフォルダにドロップされたファイル

Happy99.exe ファイルは、どこかに落ちていたのをユーザーがダウンロードするのではなく感染経路に特徴があります。


【1】

花火が表示されてる裏側で、Windows のシステムフォルダーのライブラリ wsock32.dll ファイルを改ざんする

※ 当時はともかく、今現在の Windows XP/7/18 環境では、システムフォルダー内にある重要なファイルを容易に改ざんできないようになってる


【2】

メールの送信ニュースグループへの投稿 が行われたタイミングで、1通目は正当なメール、その2通目として Happy99.exe 付きのウイルスメールが同一の宛て先へ配信される

イメージ 3

Happy99.exe
└ C:\Windows\System32\Ska.dll
 (fa07ac402dc38940e92270b62d1b2fd8)
└ C:\Windows\System32\Ska.exe
 (3860daa15877e99fc9ba961d9f1b0aca)
└ C:\Windows\System32\wsock32.dll ← 改ざんDLL
└ C:\Windows\System32\wsock32.ska ← 復旧用のオリジナルDLL

※ コレ以外にもハッシュ値が異なる Happy99.exe アリ


Happy99 の開発者は? おフランス生まれ

Happy99 ワームは。フランス人のウイルスプログラマーが開発した プログラム作品 の1つで、開発者はソースコードも公開してます。

イメージ 4
Happy99 ソースコードの冒頭部

この時代は、コンピュータウイルスの目的が、開発者の牧歌的な技術誇示です。

ランサムウェア(身代金型ウイルス) や ネットバンキングウイルス のように お金を生み出す真っ黒ビジネスでコンピュータウイルスが暗躍する世界 が訪れる、Happy99 が生まれてから5年ほど過ぎたあたりでしょうか?


セキュリティ関連情報

W32/Ska(Happy99)に関する情報 - IPA 情報処理推進機構
https://www.ipa.go.jp/security/topics/ska.html

Worm:Win32/Ska.A@m - Microsoft Malware Protection Center
https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Worm:Win32/Ska.A@m

【ウイルス検出名】
AVG Worm/Generic2.BYYT
Avira TR/Happy99/SKA
avast! Win32:Ska
ESET Win32.Ska
K7 Riskware ( 0040eff71 )
Kaspersky Email-Worm.Win32.Happy
McAfee W32/Ska@M
Microsoft Worm:Win32/Ska.A@m
Symantec Happy99.Worm
Trend Micro WORM_SKA.A

関連するブログ記事
このエントリーをはてなブックマークに追加

最終更新日: 2018/03/31

ウイルスメール開いたら感染!? プレビューの呪縛が解けない2つの理由

イメージ 2
Image いらすとや

2010年代になっても、次のような脅威を紹介してユーザーの不安を煽る日本語のページを見かけます。
  • ウイルスメールを開くだけでウイルス感染!

  • ウイルスメールを見るだけでウイルス感染!

  • メールソフトのプレビュー表示でウイルス感染!
2015年の今現在、こんなウイルスメールの感染攻撃手口はもう投入されてません。

いちおう、そんなウイルスメールの脅威が過去に存在していたのは事実だけど、それが今から 15年近くも前の古いお話で時間が経過してる のが事実です。

2000年代前半に書かれて更新がストップしてる古いページならまだしも、明らかに2010年代の新しい記事に 「メールを開くだけでウイルスに感染する」 と流行ってるかのようにいい加減な情報が紹介されてるワケです。

ウイルスメール誤情報の紹介事例

2015年にウイルス感染をキッカケにして外部に機密情報が流出する 日本年金機構 の不祥事が明らかになりました。

この時のウイルスメールからのウイルス感染事案は、年金機構の職員が不正なファイルを開いたことがキッカケになってます。

…にも関わらず、次の記事には ウイルスメールの感染手口 として ”絶対に回避” が実現できないウイルス対策を紹介してます。
  • メールソフトでメッセージの表示形式をテキストに切り替える
  • メールソフトで開封プレビュー機能を無効化する
イメージ 1
筆者の誤解でウイルスメール誤情報を紹介?

メールを開くとウイルスに感染!?この方法で絶対に回避! - NAVER まとめ
「開いた時点で感染するタイプもあります。日本年金機構はこれでした。この回避方法は下記の「メールを開いても大丈夫にする方法」を実践するしかありません。」
https://matome.naver.jp/odai/2143401279763023601

メールからウイルス感染を確実に防ぐたった一つの設定 - Pasolack
https://pasolack.com/tips/mail-virus/

このような誤った記事が作成される大きな原因は、そもそも記事の執筆者さんがウイルスメールの攻撃手口を勘違いしてるからかもしれん。

日本年金機構ウイルスメールの真実

内閣サイバーセキュリティセンターの調査報告書では、次の2つのパターンで日本年金機構にサイバー攻撃が実施されたことを紹介してます。

> www.nisc.go.jp/active/kihon/pdf/incident_report.pdf

《1》 メール本文中に誘導リンク

ウイルスメールの内容は日本語で 「厚生年金」 に関する問い合わせで、メール本文中に URL が記載されてあり年金機構の職員にファイルをダウンロードするよう仕向けた。

このファイルは正規オンラインストレージにアップロードされていて、具体的に Yahoo! JAPAN が運営するファイルストレージ 「Yahoo!ボックス」 でした。

恐らく、「Yahoo!ボックス」 は攻撃者にとって悪用するのに都合が良かったはず。
  • このサービスにはウイルス検出機能が実装されてない
    (Google Drive はウイルス検出機能が実装されてる)

  • 組織のセキュリティ対策として Yahoo! JAPAN のドメインをフィルタリング機能でブロックしておくことは現実的に難しい
《2》 メールに添付ファイル

年金機構内で使う職員個人のメールアドレス宛てに 「セミナーの案内」「医療費の通知」 といった名目で日本語メールを送信し、添付ファイルを開くよう誘導した。

メールに添付されていたのは圧縮アーカイブ .lzh 形式だった。

2000年代初頭の脆弱性が影響する!?

「メールを開封して内容が表示された」、つまりメッセージのプレビュー表示の機能を悪用する攻撃手口が投入された時期は 2001年以降の数年 です。

マイクロソフトはこの問題にすでに対処していて、脆弱性を解決するセキュリティ更新パッチを 1999年2001年 に Windows Update で配信してます。

「Scriptlet.typelib/Eyedog」 の脆弱性に対する対策 マイクロソフト セキュリティ情報 MS99-032 - 緊急 1999年8月
https://technet.microsoft.com/ja-jp/library/security/ms99-032.aspx

不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する - マイクロソフト セキュリティ情報 MS01-020 - 緊急 2001年3月
https://technet.microsoft.com/ja-jp/library/security/ms01-020.aspx

この問題の影響を受ける化石のような PC 環境を使うユーザーさん2015年時点で存在する?
  • Windows OS: Windows 95/98/Me
  • メールソフト: Microsoft Outlook、Outlook Express
  • ブラウザ: Internet Explorer 4(IE4)、Internet Explorer 5(IE5)
なお、2014年に サポートが終了して危険領域に突入済みの Windows XP(Outlook Express) は2001年11月にデビューしてます。

つまり、Windows XP ですらウイルスメールのプレビューうんぬんからウイルス感染はまったく関係ないのです。

メール経由のウイルス感染は2パターン

現在の ウイルスメール による感染攻撃手口 は次の2パターンです。
  1. メールに 添付ファイル が付いていて、それが不正なプログラムでユーザーの意思で起動する ⇒ 自爆感染

  2. メール本文中に リンク が記載されてあり、そのリンクをユーザーの意志でクリックする ⇒ 自爆感染 or ドライブバイ・ダウンロードによる強制感染
特定の組織を狙うサイバー攻撃で採用されるウイルスメールの手口も同じで、IPA が公開した2015年の資料にプレビュー機能の危険性を指摘したり、プレビュー機能を無効にするよう案内するお話はサッパリ登場しません。

IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」 - IPA 情報処理推進機構
https://www.ipa.go.jp/security/technicalwatch/20150109.html

「メール開封でウイルス感染!?」 を今だに信じるユーザーがいる理由2つは…
  1. 古い記事だけでなく、そもそも誤ってるセキュリティ記事が存在する

  2. 又聞きだけで見たことのない脅威が通用すると思い込んでる?
10年以上前に書かれたであろう古い記事は、セキュリティ機関から掲載されたままのものもあるので、誤った記事が出るのはやむを得ないやもしれんけど。

メール利用時のセキュリティ設定:POINT 1. メールソフトのセキュリティ設定をする。 - IPA 情報処理推進機構
https://www.ipa.go.jp/security/personal/base/mail/point1.html

ウイルスメール | 迷惑メール対策 - 迷惑メール相談センター
https://www.dekyo.or.jp/soudan/contents/taisaku/1-1-4.html




<2016年1月 追記...>

メールソフト Microsoft Outlook の脆弱性 CVE-2015-6172 が公表され、2015年12月に Windows Update からセキュリティ更新パッチが配信されました。
電子メールでの攻撃のシナリオでは、攻撃者は特別に細工された電子メール メッセージをユーザーに送信し、ユーザーにその電子メールをプレビュー表示する、または開くよう誘導することにより、この脆弱性を悪用する可能性があります。
Microsoft Office RCE の脆弱性 CVE-2015-6172 マイクロソフト セキュリティ情報 MS15-131 - 緊急
https://technet.microsoft.com/ja-jp/library/security/ms15-131.aspx

実際にウイルス感染攻撃が行われた事実はなく、セキュリティ研究者の指摘により発覚したもので 「BadWinmail」 という呼称も付けられてます。
関連するブログ記事
このエントリーをはてなブックマークに追加

成田空港のホームページが改ざん被害でWindowsユーザーにウイルス配信
 
空の玄関口 成田空港 の公式ホームページが改ざん被害を受け、Windowsパソコンをターゲットにコンピュータウイルスをバラ撒いてしまうトラブルが発生したとのこと。 <現在は修正済みたい
成田空港Webサイトが改ざん被害 閲覧者にウイルス感染の恐れ (ITmedia)
http://www.itmedia.co.jp/news/articles/1503/05/news122.html
攻撃者は表面上見えない隠しIFRAMEタグを埋め込んで、不正なページを裏で強制的に読み込ませるようにしてあったそう。
 
piyokango Mk-IIさんはTwitterを使っています: "成田空港ウェブサイト改ざんの件 「acds\.pw」がIframeで埋め込まれていた模様。"
https://twitter.com/piyokango/status/573397603561291777
 
今でも通用すると思い込んでるユーザーさんがいるやもしれん『怪しいサイトに行かない』といった現実の脅威とズレてるウイルス対策はどーしましょ。

ウイルス感染攻撃の流れ

不正なページは、現在でも生きてたのでアクセスしてみると、ここで再びIFRAMEタグで別の不正なページを強制的に読み込むようになってました。
 
www.virustotal.com/ja/ip-address/194.58.98.24/information/
 
イメージ 1
パラオ.pwドメイン、サーバー位置はロシア
 
そして、エクスプロイトキットによって生成される難読化されたJavaScriptコードが強制的に読み込まれ、ドライブバイ・ダウンロード攻撃の発動です。
 
イメージ 2
 
【1】 Adobe Flash Player を最新版に更新することなく旧バージョンのまま放置してる
【2】 Java
【3】 Adobe Reader 〃
【4】 Windows Update が実施されてない
 
の4条件にどれか当てはまるWindowsパソコンは、強制的に不正な実行ファイルが送り込まれて問答無用で起動し感染してしまう恐れがあります。
 
ちなみに、Mac OS、スマホ、携帯電話らへんは影響範囲外なので大丈夫です。
 
イメージ 4
攻撃成功直後にIEブラウザがクラッシュ! ユーザーが気付くのはソレだけ
 
あくまでこの記事を書く直前に攻撃を食らいに行った時に感染したマルウェア検体はコチラ↓でした。
 
イメージ 3
閲覧するだけで強制感染したナゾの実行ファイル…
 
MD5 55435751a366b904db81e621b1619f5c
ttps://www.virustotal.com/ja/file/a552d7be1a7fb62b7ce47cd4ab83605a23e105fedf3154a4a2d384c43876d0fd/analysis/1425524355/
ttp://anubis.iseclab.org/?action=result&task_id=1d4fd84f7abc876a42182c13258e8f639&format=html
 
正体は「Win32/Zbot」ウイルスかいな?
 

 
<追記...>
 
ウイルスの正体は「KINS」だそうです。ネットバンキングウイルス Zbot の派生になります。
 
■ 空港Webサイト改ざん、昨年ネット銀行を狙った特長を持つ新種ウイルスを確認| ウイルス・セキュリティニュース
http://canon-its.jp/eset/malware_info/news/150311/
 
■ 「KINS」は次なるオンライン銀行詐欺ツール「ZBOT」か | トレンドマイクロ セキュリティブログ
http://blog.trendmicro.co.jp/archives/7732
このエントリーをはてなブックマークに追加

↑このページのトップヘ