2016/10

📅 2016/10/15 | ✏️ Firefly

最高にクソな偽警告5つと削除方法アカウント監視 Facebookハッキング!?

最高にクソな偽警告5つと削除方法アカウント監視 Facebookハッキング!?

ネットサーフィン中にいきなり出くわすからパニック寸前！

完全に嘘デタラメだけど、ユーザーに衝撃的な情報を突きつけてから、大して役に立たない迷惑ソフト System Care Repair（システムケア・リペアツール）を導入するようダウンロードページへ誘導する 偽警告ページ にダマされないで～。

偽警告
『現在何者かがあなたのFacebookアカウントをハッキング』

現在何者かがあなたのFacebookアカウントをハッキングしようとしています .下のMicrosoft公認のアンチウイルスソフトウェアをダウンロードしてアカウントを保護してくださいアカウントにハッカーがログインするまでの推定時間：[数字]秒国: ***IP アドレス : ***OS/ブラウザ : *** / ***ここをクリックしてアカウントを保護Facebookテクノロジー無題な濃いログ

偽警告
『最近のアカウント活動が停止しています』

Microsoft 無題な濃いログ最近のアカウント活動が停止しています。重要なメッセージ：新しいウイルスが現在登場しています。Trojan 2XJADは自動的に全てのプライベート写真をFacebookに投稿し、そしてこのウイルスは現在既に 253,478 台のコンピューターに感染しています。あなたのコンピューターは [数字] 秒以内に感染するおそれがあります。下から当社の最新のアンチウイルスをダウンロードしてコンピューターとファイルを保護しましょう。無題な濃いログダウンロードしてコンピューターを保護 Microsoft公認アンチウイルスMicrosoftブラウザセキュリティ

偽警告
『ハッカーの動きを検出しました』

ハッカーの動きを検出しました現在コンピューターへのアクセスを得ようとしているウイルスをMicrosoftが検出しました。[数字] 秒以内にパーソナルなプライベート写真とファイルが自動的にEメールの連絡先に送信されてFacebook上に投稿されます下の最新のアンチウイルスをダウンロードしてコンピューターを安全に保ってください。ファイルロケーション : C:\Users\Default\PicturesOS/ブラウザ: *** / *** 国: ***IPアドレス: ***ここをクリックしてダウンロードしてファイルを保護無題な濃いログ

偽警告
『アカウントが監視されています』

Microsoft警告！アカウントが監視されています何者かがあなたのFacebookとGmailアカウントにログインしようとしているのをGoogle Chromeが検出しました。攻撃者が [数字]秒以内にアクセスを入手しようとしています。.直ちに更新された当社のアンチウイルスをダウンロードしてスキャンしてください。無題な濃いログオペレーティングシステム：***国 : ***IPアドレス: ***ISP: ***直ちにここにダウンロードしてスキャン無題な濃いログ

偽警告
『Windowsドライバーエラー (0x00f942)』

Kaspersky Norton Microsoft 無題な濃いログ Windowsドライバーエラー (0x00f942)WindowsとMicrosoftが古いドライバーを検出しました。重要なファイルとドキュメントへのアクセスを失う前に最新のドライバーをダウンロードしてください。この時間内に更新してください : [数字] 秒 .Windowsドライバーエラー： v2.49.339 (旧)ファイルロケーション : C:\Windows\System32\driversブラウザ : ***OS: ***今すぐドライバーを更新無題な濃いログ

警告の信憑性を持たせるため Microsoft＆Windows や Facebook などの名前を出し本物のロゴマークをパクって悪用し、見た目の雰囲気もうまく偽装してユーザーを欺こうとしてます。

これらは要は 詐欺広告 だけど、残念ながら 提示されてる情報を疑うことなく真に受けてしまうユーザーさんがやはりいて効果的な宣伝手口 だから止まない…。

＜心理的なトラップは 振り込め詐欺 にも通じる

・ 突然現れるパソコンの警告表示をすぐにクリックしないこと！－その表示は、有料ソフトウエアの広告かもしれません国民生活センター
http://www.kokusen.go.jp/news/data/n-20140424_2.html

簡単！偽警告ページの消し方

これはさすがに怪しくて変だと見抜いたら、ひとまずブラウザを終了したりタブを閉じようと行動するはず…。

ところが、ブラウザの警告ダイアログが逐一ポップアップ表示されて、OKボタンを押してもループしてまったく抜け出せない！

＜ブラウザがロックされた!?

マウスカーソルの位置からダイアログ表示
「お待ちください!?」

知識あるユーザーさんなら、ここでブラウザを 強制終了 すると消えない偽警告ページはサッと終了できて解決♪

＜パソコンの再起動でも解決するけど

【1】

Windows のタスクマネージャーを開く

【2】

終了させたいブラウザを選び、下の [タスクの終了(E)]ボタン をポチッとな♪ （Windows Vista/7の場合は [アプリケーション]タブにある）

激安価格な中古ノートパソコン

Flash Player 23.0.0.185リリース最新のものではなく更新が必要なためブロック？

Flash Player 23.0.0.185リリース最新のものではなく更新が必要なためブロック？

旧バージョンに存在する脆弱性を悪用してWindowsパソコンをウイルス感染させる経路にもなってる無料ブラウザアドオン Adobe Flash Player の最新版がリリース！

バージョン 23.0.0.185

バージョン確認ページ → https://www.adobe.com/jp/software/flash/about/

Windows 7 上の Internet Explorer 11 ブラウザで、インストールされてる Adobe Flash Player が最新のバージョンに更新しておらず古すぎ（投稿時点では「～バージョン20系」）だと強制的に動作をブロックする施策も始まります。

「Flash® Player は、最新のものではなく更新が必要なためブロックされました」

■ IE11 で古いバージョンの Flash ActiveX コントロールのブロックを開始 – マイクロソフト
https://blogs.technet.microsoft.com/jpsecurity/2016/09/22/blocking-out-of-date-flash/

https://blogs.technet.microsoft.com/jpieblog/2016/09/27/upcomingflashblocking/

[10月12日追記...]

更新内容は12件の脆弱性の修正が含まれてるということで、セキュリティ対策の一貫として最新版にしておくことがものスゴイ大事です。

・ Security updates available for Adobe Flash Player APSB16-32 - Adobe Security Bulletin
https://helpx.adobe.com/security/products/flash-player/apsb16-32.html

日本国民税金庁!? 迷惑メール.jsファイル開いたウイルス感染 2つの対策

日本国民税金庁!? 迷惑メール.jsファイル開いたウイルス感染 2つの対策

日本の公的機関である 国税庁 を騙って、税金の滞納通知を装った日本語表記の 迷惑メール（スパムメール） が確認されてます。

ただ、メール本文の冒頭には、聞いたことのない 日本国民税金庁 なるナゾの組織が登場し、怪しさ爆発です。

＜そんな機関は実在せんよ

■ えいとさんのツイート: "早朝から偽メールが来た。『日本国民税金庁(国税庁)』には笑った。"
https://twitter.com/eight_ne/status/785604097898536960

■ 小倉さんのツイート: "やばい。日本国民税金庁から、滞納してる税金を払えよ、ゴルァ、というメールが届いてしまった。どうしよう…。とりあえず添付ファイルを力一杯ダブるクリツクしてみようか…"
https://twitter.com/oguray/status/785619635387240449

■ やぎにょんさんのツイート: "日本国民税金庁なんてこのスパムメールではじめて知ったw 添付されているJavaScriptはいったい何なんだろうね?"
https://twitter.com/yaginyone_jnr/status/785632393885470720

メールには添付ファイルが付いていて、当の国税庁も注意喚起してます。

国税庁 National Tax Agency

・ 国税庁を名乗る者・団体から不審メールが送信される事例が発生しておりますのでご注意ください - 国税庁

『国税庁では、納税者の皆様に電子メールで直接、申告書の提出期限や罰則等に関する内容をお知らせすることや添付ファイルを送信することはございません。また、メールに添付されたファイルはクリックしないようお願いいたします。』

> https://www.nta.go.jp/sonota/sonota/osirase/topics/note_fake.htm

添付ファイルはウイルススクリプトファイル.js

国税庁を騙る迷惑メールの現物は、手元で受信してません。

ただ、オンラインマルウェア解析サイト Malwr にアップロードされていた不正なファイルを頂戴してきたので、手元の Windows 環境で動作確認してみました。

■ 圧縮ファイルを解凍すると？

まず、添付ファイルは zip 形式の圧縮アーカイブです。

これを手動で解凍・展開すると、次のように Windows スクリプトファイル という種類が登場しました。

＜ファイル名は英語で「国税庁」「税金」の意味

メールで送られてきたウイルスの実物画像

【不正なスクリプトファイル】
Japan National Tax Agency.js
Tax.js

このファイルは、当然から国税庁や税金についてのブツではないし、決して文書ファイルではありません！

ファイルの形式は？
→ JScript Script ファイル／ JavaScript ファイル
ファイルの拡張子は？
→ ～ .js

アイコン画像に ”巻き物” が描かれてあるけど、ホント勘違いしないでー！

なお、次の時点では別に何も危険なことはいっさい起こってません。

メールを受信してメッセージ本文を単に読んだ
メールソフトのプレビュー機能でメールの内容が表示された

■ ネットバンキングウイルスに感染！

このスクリプトファイル .js を Windows パソコン上でポチポチッと ダブルクリック して開いたらどうなる？

実際に開いた直後の Windows のプロセスの様子がコレ！

そして、次の段階に移ります。

Windows の正規プログラム Windows PowerShell を介して外部ネットワークに接続を試み、不正な実行ファイルをダウンロードしてきてシレッと起動します。

実行ファイル Roaming.exe が起動し感染した瞬間

wscript.exe … スクリプト実行環境
　└ cmd.exe … コマンドプロンプト
　　└ powershell.exe … Windows PowerShell
　　　└ ＊＊＊.exe … 不正な実行ファイル（マルウェア）

Windows のシステムに最初から用意されてある正規プログラム Windows PowerShell を悪用してくる理由は、導入されてるであろう セキュリティソフトの検出を迂回するため です。

マルウェアをダウンロードする PowerShell スクリプト

この実行ファイル .exe の正体は？

ネットバンキング不正送金やクレジットカード不正利用の被害で暗躍してるマルウェア Ursnif（読み方アースニフ）という脅威になります。

【ウイルス検体ファイル】
MD5 8d3b4da716344ce57f28ab5210e82bfc

www.virustotal.com/ja/file/37c0f1b1258836030359e149c7ea4ec92d6d8a1bbf299e926191e2f19da00ff0/analysis/1476159239/
C&Cサーバー → 185.130.226.210 オランダ

激安価格な中古ノートパソコン

■ スマホはウイルス大丈夫？

ウイルス感染の攻撃ターゲットは Windows XP/Vista/7/8/10 パソコンのみです。

次の環境は動作しないファイル形式なので大丈夫ですよぅ。