無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2015/09

| ✏️ Firefly

マクロウイルス影響環境 Android iPhone Macでワード/エクセルファイル開いたら感染?

イメージ 2

マクロウイルス」「マクロ感染型ウイルス」 と呼ばれる不正な Microsoft Office ファイルは、具体的にどの環境に影響するんかいな。

  • Word ファイル
    拡張子 .doc / .docm

  • Excel ファイル
    拡張子 .xls / .xlsm

まず、大前提としてマクロウイルスは Microsoft Office に標準で実装されてる次の機能を悪用する脅威です。

Visual Basic for Applications
(略称 VBA)
びじゅあるべーしっく・ふぉー・あぷりけーしょん

この VBA マクロ機能が実装されてる製品は、Windows 向け OfficeMac OS X 向け Office for Mac の2つに限定されます。

イメージ 1


マクロウイルスの影響がない環境

…ってことで、次のような環境は マクロウイルスが動作する Office 製品が存在しないので影響範囲の対象外 です。

  • Microsoft Office 互換のオフィスソフト
    LibreOffice、OpenOffice、Kingsoft Office など

  • スマートフォン&タブレット
    Android OS、iOS(iPhone/iPad)

  • オンラインストレージ上の閲覧ビュー
    Office Online、OneDrive、Google Drive、Dropbox など

  • 携帯電話(ガラケー)、ゲーム機、テレビ、など

このような端末上で、仮にも不正な MIcrosoft Office ファイルを開いたとしても、100%無害で危険性がない考えてもらって大丈夫です。

攻撃対象は Windows XP/Vista/7/8/10

ネットバンキング不正送金ウイルス や ファイル復元できないよう暗号化するランサムウェア の ”運び屋” としてマクロウイルスを 添付した 迷惑メール(スパムメール)をバラ撒く手口 が2014年あたりから活発です。


この感染被害ターゲットは Windows XP/vista/7/8/10パソコンだけ です。



Office for Mac の影響は?

VBA マクロを処理する不正なコードは、あくまで Windows 上で不正な動作を行うよう設計されてます。

Mac OS X 向け Office for Mac は、Windows 向け Microsoft Office のマクロ機能に互換がなく、限定的な処理しかできない制限もあるので、影響はまずありません。


Amazon.co.jp | 通販 - ファッション、家電から食品まで【通常配送無料】
 

Yahoo!ショッピング - Tポイントが貯まる!使える!ネット通販


<2017年2月 追記...>

復活を遂げたマクロウイルスで、Windows ではなく Mac OS X が攻撃ターゲットとなる不正な Wordファイル(拡張子 .docm) が確認されました。

Windows と比べて、超珍しいので大きくニュースになってます。

Macをターゲットにした「マクロウイルス」が登場、Wordの自動化マクロを用いて個人情報を盗む - GIGAZINE
https://gigazine.net/news/20170210-mac-malware-word-macro/

Microsoft Office macro malware targets Macs - Malwarebytes
https://blog.malwarebytes.com/cybercrime/2017/02/microsoft-office-macro-malware-targets-macs/

マクロウイルスのファイル名は、米国シンクタンクであるカーネギー国際平和基金から 「米国大統領にトランプ氏が当選した」 ことに関連した資料を装ってます。

【Mac向けマクロウイルス】
ファイル名 → U.S. Allies and Rivals Digest Trump’s Victory - Carnegie Endowment for International Peace.docm
DM5ハッシュ値 → 1de4838f13c49d9f959d04b363326ac1

これは、オンラインファイルスキャン VirusTotal 上にアップロードされていたファイルから発掘されたものです。

  • 2016年12月 不正な Word ファイルの作成

  • 2017年1月 VirusTotal にファイルのアップロード

  • 2017年2月 マクロウイルス発見のニュース

時間が経過してるため、マクロウイルスから最終的に感染させる Mac マルウェアが何だったのか分かっておらず、どういう形で配信されたのか攻撃の背景も不明だけど、標的型攻撃ではないかと推定されてます。

マクロウイルスが Mac OS X 環境下で流行る状況はいっさい起こってません。

関連するブログ記事
タグ :
#その他コンピュータ
このエントリーをはてなブックマークに追加

| ✏️ Firefly

<解決>Security Reviver削除アンインストール方法 詐欺広告注意

イメージ 4

カナダのソフトウェア開発会社 Corel (コーレル) の傘下にある米国 ReviverSoft (リバイバーソフト) が開発する Security Reviver (セキュリティ リバイバー)とは、Windows 向けで 有償 のウイルス駆除ツールです。

イメージ 3
SecurityReviver ウィンドウ画面

  • SecurityReviver のウイルススキャンエンジン
    → オープンソースで公開されてる ClamAV を採用
    脅威を駆除するにはクレジットカード決済で Security Reviver の有料ライセンスを購入する必要アリ

  • Security Reviver はウイルス?
    → 別に 「詐欺ソフト」 「偽セキュリティソフト」 「マルウェア」 といった脅威には該当せず

  • Security Reviver の評価は?
    わざわざ Windows に導入する必要性や価値のない 迷惑ソフト の分類が適切か

なお、Security Reviver は無害なファイルを誤って脅威と判定する誤検出がかなり多く、また必ずしも害があるとは言えない ブラウザの Cookie も脅威として検出します。

利用に注意が必要なシロモノです。

ウイルス感染ネタ Security Reviver 詐欺広告に注意

一般サイトに掲載されてる Google アドセンス広告として、現在使ってる Windows PC がマルウェアに感染しているかのよう誤認させる 偽警告詐欺広告 を確認してます。

イメージ 1
クリックを誘う Security Reviver 詐欺広告

マルウェア駆除 マルウェアがあなたのPCのインストールや実行中のアップデートを中止している可能性があります [問題を確認します] RiveverSoftc Security Reviver

これは単にバナー広告の画像が表示されているだけです。

ただ、中には Windows パソコンがすでに危険で状況に陥ってる勝手に思い込み、バナー広告をクリックして先へ進めると、Security Reviver のダウンロードページに誘導されました。

イメージ 2
機械翻訳か日本語が不自然すぎるダウンロードページ

どうやってあなたのウィンドウズPCを確保するか 問題 多くの人が彼らのアンチウィルスプロテクテョンが自動的にPCを犯すであろう全ての悪質な脅威や悪質なソフトウェア(マルウェア)から保護すると思っています。これは違います。マルウェアは頻繁にトラディショナルなAV製品を上回り、そしてあなたのPCと個人情報に申告な問題を及ぼします。[ウィンドウズセキュリティツールをダウンロードする]

Security Reviver のダウンロードページは、Windows のロゴマークを表示して 「ウィンドウズ セキュリティツール」 と自称していました。

まるで米マイクロソフトが Security Reviver と関連しているかのような雰囲気だけど、まったく無関係です。

ここで インストーラ形式の実行ファイル (拡張子 .exe) をダウンロードできるけど、Security Reviver が強制インストールされることはなく、あくまでユーザーさんの意思でもって Security Reviver の手動インストールしないといけません。

Security Reviver 削除アンインストール方法

不必要な Security Reviver の削除方法です。


【1】

Security Reviver ウィンドウ右上の×ボタンはプログラムが常駐するだけなので、タスクトレイの通知領域にある Security Reviver のアイコン上で右クリック → メニューから [終了] させてください。

Windowsのタスクマネージャー開く
プロセスの SecRev.exe 強制終了でもOK


【2】

下のどちらかで Security Reviver のアンインストール作業を始めます。

Windows のスタートメーニュー → [すべてのプログラム] → [Security Reviver] → [Security Reviver をアンインストールする] をポチッとな

○ Windows のコントロールパネルにある [プログラムと機能] を開いて「Security reviver」(発行元 RevivierrSoft) をアンインストールするっとな


【3】

確認ダイアログ 「Security Reviver とその関連コンポーネントをすべて削除します。よろしいですか? Firefly」 が表示されたら、[はい] ボタンの方をポチッとな。


関連するブログ記事

タグ :
#ソフトウェア
このエントリーをはてなブックマークに追加

| ✏️ Firefly

【危険】広告表示34%でウイルス感染被害! 無料対策2つとスマホ影響は?

イメージ 4

セキュリティ会社トレンドマイクロより、ネットサーフィン中に 広告配信サーバー由来のウイルス・マルウェア感染攻撃 に関する記事で紹介されてます。

イメージ 1
脆弱性攻撃サイトへの誘導スクリプトが
設置されていたサイト種別 (2015年8月)

不正広告に日本から900万アクセス、金銭狙う攻撃への誘導が日本でも顕著に

この手のウイルス感染経路の起点として次の3つに分類できるそう。
  1. 不正広告 … 34%

  2. 一般サイト … 31%

  3. アダ*トサイト … 28% ← 世間一般でいう怪しいサイト
ウイルス対策として 「怪しいサイトにアクセスしない」 というフレーズをよく目にするけど、広告配信と一般サイトの計65%がウイルス感染経路の起点になってる現実に注目スべきです。

そもそも 未来を完全に予知する能力 とか持ってるワケでもないのに、「怪しいサイトにアクセスしない」 を確実に実現するという要求はけっこう無謀では?

広告由来のマルバタイジング

このような脅威は以前から確認されていて、”不正広告” からのウイルス感染をセキュリティ用語では マルバタイジング(malvertising) と呼んでます。

マルバタイジングとは?
マルウェア(malware)と 広告(advertising) に由来する造語
  1. 悪意のある攻撃者が広告表示枠を正規ルートで購入してマルウェア配信

  2. 悪意のある攻撃者が広告配信サーバーをハッキングしてマルウェア配信

こうして実現される嫌らしい手口は、複数サイトで一挙にドババーと配信されるから、攻撃者にとって より多くのユーザーを狙ってウイルス・マルウェアをバラまくことができるメリット があると。

今回確認した不正広告が配信されたと推測される正規サイトには、アダ*トサイトまとめサイトなどに加えて、各種メディアのサイトや、動画やポイントなどの各種Webサービスオンラインゲームソフトウェアベンダーなど、一部著名な日本向け正規サイトが含まれていました  (トレンドマイクロ ブログより) 

えぇ~、もう 「怪しいサイトにアクセスしない」 だけでは無理っしょ!

イメージ 3
ハッキングされた一般サイト経由でウイルス感染攻撃
 
イメージ 2
広告配信サーバーの侵害でウイルス感染攻撃

・ ウェブサイトを閲覧しただけでウイルスに感染させられる "ドライブ・バイ・ダウンロード"攻撃に注意しましょう! - IPA 情報処理推進機構
https://www.ipa.go.jp/security/txt/2010/12outline.html

不正ではなく、一般サイトに掲載されてることも多い広告配信サーバー(場合によっては正当なブログパーツ)の侵害により、大量の一般サイトが危険サイトへ変貌してしまうワケです。

ウイルス感染攻撃を回避する無料対策は?

「怪しいサイトにアクセスしない」 という理想論はキッパリ捨てましょう。

そして、「怪しいサイトとか関係なくネットサーフィンでのウイルス感染を防ぐ」 という、現実に合わせた簡単なウイルス対策が大事です。

ウイルスを強制インストールする手口は、その最初の起点が広告表示、一般サイト、大人向けサイトであるという以外は、従来から確認されてる ドライブバイ・ダウンロード攻撃 という手法です。

《1》 広告配信由来のウイルス対策

もっとも狙われる Windows ユーザーさんは、あらかじめ 無料ウイルス対策 をキッチリ済ませてあるか確認しましょ。

  1. 毎月定例更新の Windows Update で今月分は実施してある?
    (Internet Explorer 11、Microsoft Edge の更新) Firefly
    https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx

  2. ブラウザアドオン Adobe Flash Player を最新版に更新してある?
    https://get.adobe.com/jp/flashplayer/about/

セキュリティに無頓着な初心者さんのほか、自身過剰に陥ってる自称上級者さんが、こういう無料ウイルス対策すら済ませてないこともあり注意が必要です。


《2》 不正広告をブロックする低減対策

如何わしい広告の対策はどうしましょか…。

これはセキュリティ製品にすべて託す必要なく、ネットサーフィンするブラウザの機能でリダイレクト処理が始まる前段階でブロックすることで、詐欺広告に出会う確率を低減する無料対策があります。 <オススメ

イメージ 5
uBlock Origin × EasyList で不正広告ブロック
  • IE11 → 標準の追跡防止機能

  • Google Chrome → 拡張機能 uBlock Origin or Adblock Plus Firefly
    Mozilla Firefox

  • Microsoft Edge → 拡張機能 uBlock Origin Firefly

過度に期待される セキュリティソフト を導入してあっても、ウイルス感染経路がそもそも塞がっておらず開放状態なら、根本的なウイルス対策になってません。

不正広告に由来する攻撃の影響環境は?

ドライブバイ・ダウンロード攻撃のウイルス感染手法で影響ある環境は、基本的に Windows PC だけです。

【不正広告の影響範囲は?】
Windows XP/Vista/7/8/10
※ 2014年にマイクロソフトのサポート終了した Windows XP
 
たとえば、Mac OS X、Androidスマホ、iOS(iPhone/iPad) らへんが、この手の不正広告でウイルス感染することはまずないです。

ただし、注意点が…
アクセスしてきた環境に見合った、ウイルス感染ではない攻撃を仕掛けてきます。


<2016年4月 追記...>

Android OS の標準ブラウザに内在する脆弱性を悪用したドライブバイ・ダウンロード攻撃で スマホ画面をロックするランサムウェアウイルス感染 が発生!

関連するブログ記事
タグ :
#その他インターネット
このエントリーをはてなブックマークに追加

↑このページのトップヘ