無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

カテゴリ:日記 > ウイルスメール

初回投稿 2014年12月24日

<危険>スクリーンセーバーscrは100%ウイルス感染3つの手口まとめ

Windowsスクリーンセーバー実行ファイル(拡張子.scr)でウイルス、マルウェア、トロイの木馬、スパイウェア感染危険YouTubu動画配信者、NFTアーティスト、P2Eゲーム偽装の「やり取り型サイバー攻撃。

Windows パソコンで スクリーンセーバー の実行ファイルに付けられる拡張子が 「.scr」 です。

イメージ 2
「スクリーン セーバー」 の実行ファイル例

拡張子 「.scr」 の由来は英単語です。

screen saver
× screen shot (スクリーン・ショット)
× screen capture (スクリーン・キャプチャ)
× script (スクリプト)

スクリーンセーバーとは焼付き防止からサイバー攻撃へ?

スクリーンセーバーの一般的な動作は、キーボードやマウスが一定時間使われていないタイミングに合わせて Windows パソコンのモニター画面に装飾的な模様の動くアニメーションや時計 (日時) を表示する役目でしょう。

Screen Saver スクリーンセーバー 設定ウィンドウ Windows 10/11
Windows スクリーンセーバーの設定ウィンドウ

ただ、パソコンの液晶モニターはエコや節電の面から電源 OFF にする方がよく、スクリーンセーバーの需要は以前より減っていると思われます。

スクリーンセーバーの使用目的
大昔 石器時代 ~ 2000 年代
ブラウン管 CRT ディスプレイモニターの焼き付き防止
現代 液晶モニターに焼き付き現象は存在せず
・ 「お飾り」 や 「お遊び」 の自己満足プログラム
・ パソコンから離席した時のパスワードロック
サイバー攻撃の投入される危険物


スクリーンセーバーは実行ファイルと同等

Windows 上で動作するスクリーンセーバー (拡張子 .scr) を内部データ的に見た場合、Windows 向け実行ファイル (拡張子 .exe) と同等のファイル形式です。 <違いはない

.scr = .exe

つまり、使用する目的が Windows のスクリーンセーバー であると明示されていないのに、拡張子 「.scr」 を持った未知のファイルは、100% 間違いなく危険なマルウェア (コンピュータウイルス) と判断して問題ないです。


Mac やスマホでは動作せず影響なし

ちなみに、スクリーンセーバー (拡張子 .scr) の動作環境は Windows パソコンに限定されるので、それ以外の環境では ファイルを開くことができずプログラムとして動作しません

Windows XP/Vista/7/8/10/11
× mac OS
× Android OS
× iOS (iPhone / iPad)

スクリーンセーバーを使うウイルス感染攻撃に注意

スクリーンセーバー (拡張子 .scr) のファイルをダブルクリックして開く行為は、実行ファイル (拡張子 .exe) をダブルクリックして開く行為に等しいです。

不自然な配布経路でスクリーンセーバーを掴ませるウイルス感染攻撃の手口 3 パターンを挙げます。


【1】 チートツールや有償製品のクラックを装う

キャラクターを強くして対戦型オンラインゲームを有利にする 「チートツール」、本来は購入しないといけない有償製品を 「クラック」 して無料ダウンロード、といった魅力ある名目で無警戒なユーザーたちを おびき寄せます。

たとえば、YouTube 動画 からオンライン・ストレージに投稿されているマルウェアをダウンロードさせるサイバー攻撃が確認されています。

【マルウェア置き場として悪用される正規サービス URL】
cdn.discordapp.com
drive.google.com
dropbox.com
github.com
raw.githubusercontent.com
mediafire.com
mega.nz
onedrive.live.com
sendspace.com
https://fireflyframer.blog.jp/19063702.html


【2】 文書・画像・動画を装いスクリーンセーバーを開くよう誘う

詐欺師がターゲット 1 人に明確に狙いを定めて実行されるサイバー攻撃が確認されています。

「やり取り型」 サイバー攻撃
海外企業に所属する関係者を名乗った詐欺師が、Eメール、Twitter や Instagram のダイレクトメッセージ DM を介してターゲットに連絡を寄越す。仕事の依頼や提案に応じた 1 人がウイルス感染の餌食になる。

ウイルス感染後の被害例
・ ブラウザやソフトウェアに保存されている認証情報を盗まれる
  └ パスワード、クレジットカード情報、認証 Cookie
・ 保有する仮想通貨が見知らぬアドレスに送金されて盗まれる
ゲーマーに成りすました詐欺師が、Steam クライアントのチャットや Discord クライアントのダイレクトメッセージ DM を使ってターゲットに接触を試みる。興味本位で応答した 1 人がウイルス感染の餌食になる。

ウイルス感染後の被害例
・ オンラインゲームのアカウントハック被害が発生する
・ 勝手にゲームをプレイされる、勝手にゲームを購入される、ゲーム内アイテムを強奪される
・ 乗っ取られた Discord アカウントを悪用してフレンド全員にスパムメッセージを送信する

ターゲットの属性に応じて、手を変え品を変えのサイバー攻撃が展開されるので一例を紹介します。

YouTube 動画配信者 YouTuber
YouTube に動画を投稿するユーザーに照準を合わせたサイバー攻撃。
著名 YouTuber のチャンネルが乗っ取られるキッカケになっている。
YouTube チャンネルが乗っ取られたらどうなる?

詐欺師が 「あなたの運営する YouTube チャンネルは素晴らしい」 とヨイショして、自社開発のソフトウェアの動作レビューや PR を依頼したり、企業案件でコラボ動画を制作しないか提案してくる。
ダウンロードや確認を促される 「ソフトウェア」 「契約書」 を開いたところ、実際にはウイルスのファイルを起動していて感染してしまう。
イラストレーター、NFT デジタルアーティスト
ネット上で活動する絵師に照準を合わせたサイバー攻撃。
NFT アートやイラスト制作依頼でウイルス感染

詐欺師が 「あなたの作品は素晴らしい」 「あなたの絵に惚れた」 とヨイショして、仮想通貨や米ドルで報酬を支払うことに触れつつ、自分のために絵を描いてほしいと依頼したり、開発中というゲームのデザインの仕事やイラストの制作を持ち込む。
ダウンロードや確認を促される 「イラスト」 「資料」 「契約書」 を開いたところ、実際にはウイルスのファイルを起動していて感染してしまう。
ゲーマー
新しいモノに飛びつきやすく、様々なアカウントを保有するゲーマーに照準を合わせたサイバー攻撃。
ゲームのテストプレイ依頼でウイルス感染

詐欺師は 「開発中の P2E ゲームのテストプレイをして欲しい」 「有料サービスが無料になる特別な方法を教える」 「ゲーム内アイテムをタダであげる」 といったゲーマーの心をくすぐる魅力的な提案を持ち込む。
起動するよう促される 「ゲームのプログラム」 を開いたところ、実際にはウイルスのファイルを起動していて感染してしまう。

善人を装った詐欺師と複数回の 「やり取り」 を経て信用を得た後、様々な名目でファイルの開いて確認するよう誘惑します。

  • 偽の文書
    ファイルの名目 「契約書」 「企画書」 「著作権侵害の調査資料」
    (拡張子 .doc.scr / .docx.scr / .pdf.scr)

  • 偽の画像や動画
    ファイルの名目 「資料」 「ゲーム画面」 「写真」 「イラスト」 「作品の見本例」
    (拡張子 .jpg.scr / .jpeg.scr / .png.scr / .psd.scr / .mp4.scr)

  • 偽のプログラム
    ファイルの名目 「ゲームのベータ版」 「開発中の自作ゲーム」
    (拡張子 .exe)


【3】 Eメールでスクリーンセーバーを配布する

迷惑メール (スパムメール) の添付ファイルとしてスクリーンセーバーを受信する、あるいはEメール本文に記載された URL リンクからスクリーンセーバーをダウンロードさせます。

Windows エクスプローラでファイルの種類がスクリーンセーバーのマルウェア.exe
エクセルファイル? ワード文書? ファックスのデータ?
→ アイコンで騙す不正なスクリーンセーバー

スクリーンセーバー添付の不審メール例
金銭の 支払い請求書 (invoice、インボイス) を装う
運送会社を名乗って 荷物の配達通知 を装う


パスワード付き圧縮ファイルが危険!

上のようなサイバー攻撃で、ダウンロードさせようとするファイルの形式が パスワード付きの圧縮ファイル だと厄介です。

~ パスワードを付けることが可能な圧縮ファイル ~
拡張子 「.zip」 「.rar」 「.7z」

この場合、圧縮ファイル内にコンピュータウイルス (マルウェア) が含まれていたとしても、パスワードで保護 (暗号化) されている影響から 様々なセキュリティ保護機能を回避されてしまう 危険性があります。

受け取ったファイルをセキュリティソフトでウイルススキャンしても、診断結果は 「無害」 と判定するので何ら警告もされず、それを見たユーザーは安全なファイルと入手した確信してしまい、呆気なく詐欺師の罠に足元をすくわれます。


スクリーンセーバー scr のウイルス対策

攻撃者が Windows ユーザーを狙ってスクリーンセーバー (拡張子 .scr) を採用する理由は…?

  1. ダブルクリックでウイルス感染
    実行ファイルと同じようにユーザーが開く行為でプログラムが即起動する

  2. アイコン画像で見た目の偽装
    表示されるアイコン画像を指定できるので、文書・画像・動画っぽく偽装できる

  3. スクリーンセーバーの認知度が低い?
    拡張子 .exe と比べて需要が減った影響からかスクリーンセーバーに対する警戒心が薄い

対応が後手に回ることもあるセキュリティソフトにすべてを託さないで、スクリーンセーバーの拡張子 「.scr」 に注意を払って自分の身は自分で護る ことが重要です。


[scr ファイル 開く] [scr ファイル 作成] [scr ファイル 意味] [scr ファイル 再生] [doc.scr ウイルス] [docx.scr ウイルス] [psd.scr ウイルス] [pdf.scr ウイルス] [mp4.scr ウイルス] [scr 拡張子 ウイルス] [scr 拡張子 開く] …

関連するブログ記事

このエントリーをはてなブックマークに追加

<迷惑メール>Payment Advice Advice Refウイルス感染HSBC注意

HSBC銀行を騙る英語の怪しい迷惑メールPayment Advice Advice Ref Priority payment Customer Refでウイルス感染。添付ファイルのマルウェアexeから脅威を見極めるウイルス対策が大事。

添付ファイルがマルウェアの可能性あり!

イギリスやアジアに拠点を置いているというグローバル銀行 HSBC (The Hongkong and Shanghai Banking Corporation Limited、香港上海銀行) を勝手に名乗って成りすました英語の 迷惑メール (スパムメール) を受信しています。

email
添付ファイル付きの HSBC 迷惑メール

不正メール件名 Payment Advice - Advice Ref:[GLV410796721] / Priority payment / Customer Ref:[2000000559]
送信者 HSBC Advising Service <advising.service@mail.hsbcnet.hsbc.com>

Dear Sir/Madam,
The attached payment advice is issued at the request of our customer. The advice is for your reference only. 無題な濃いログ
Yours faithfully,
Global Payments and Cash Management
HSBC
This is an auto-generated email, please DO NOT REPLY. Any replies to this email will be disregarded.
Security tips 無題な濃いログ
1. Install virus detection software and personal firewall on your computer. This software needs to be updated regularly to ensure you have the latest protection.
2. To prevent viruses or other unwanted problems, do not open attachments from unknown or non-trustworthy sources.
3. If you discover any unusual activity, please contact the remitter of this payment as soon as possible.
This e-mail is confidential. It may also be legally privileged. If you are not the addressee you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return e-mail.
Internet communications cannot be guaranteed to be timely, secure, error or virus-free. The sender does not accept liability for any errors or omissions. 無題な濃いログ
"SAVE PAPER - THINK BEFORE YOU PRINT!"
不正メール件名 Payment Remittance - Advice Ref:[HSBC-1096483284] / Priority payment / Customer Ref:[1029543] / Payment Advice - Advice Ref:[GLV908109269] / Priority payment / Customer Ref:[UNMATCHED] / Payment Advice - Advice Ref:[BIBAA1136382]
送信者 <e-banking@hsbc-banking.com>

Dear Sir/Madam,
The attached payment advice is issued at the request of our customer. The advice is for your reference only. Kindly confirm safe receipt of  the attached payment note and revert back to your customer. If you have any questions regarding this payment advice, please contact the remitter of this payment as soon as possible or call: (0800) 975-4722. 無題な濃いログ
Yours faithfully,
Global Payments and Cash Management
HSBC.
This is an auto-generated email, please DO NOT REPLY
Security tips:
1. make sure you have the latest antivirus and personal firewall on your computer.
2. This software needs to be updated regularly to ensure you have the latest protection.
3. To prevent viruses or other unwanted problems, do not open attachments from unknown or non-trustworthy sources. 無題な濃いログ
This e-mail is confidential. It may also be legally privileged. If you are not the addressee you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system.
Internet communications cannot be guaranteed to be timely, secure or error-free. The sender does not accept liability for any errors or omissions. 無題な濃いログ
〔日本語で簡単な意味〕
添付の支払通知書は、お客様の要望により発行したものです。なお、本アドバイスはあくまで参考としてご覧ください。無題な濃いログ 添付の支払通知書を問題なく受領したことを確認して、お客様に返信してください。この支払通知書について質問がある場合は、支払いの送金者にできるだけ早く連絡するか、電話で問い合わせください。

日本国内では馴染みの薄い HSBC 銀行を騙るEメールを真に受けるユーザーさんは少ないだろうけど、件名はもっともらしく 「Payment Advice」 (支払い通知) となっていました。

そういう支払いに関してサッパリ身に覚えがなくても、迷惑メールの金銭ネタは不安を覚えて無視できなくなるユーザーさんが出現するので厄介です。

○ フィッシング詐欺/スパム メール
最近、弊行グループとは無関係の第三者が HSBC の名を騙り、“payment.advice@hsbc.com.hk” というメールアドレスから、支払通知 (Payment Advice) と題した添付ファイル付きの電子メール (スパムメール) を送信していることがわかっています。 HSBC では “payment.advice@hsbc.com.hk” というメールアドレスは利用しておりません。また、弊行では単一の電子メールから複数のお客様あてに支払通知を送信することはございません。このようなスパム メールが届きましたら、添付ファイルを開けることなく、直ちに削除していただきますようお願いいたします。
https://www.hsbc.co.jp/ja-jp/bank-legal-information

HSBC 迷惑メールでマルウェア感染

この HSBC 迷惑メールがバラ撒かれる目的が、Windows XP/7/8/10/11 パソコンをターゲットに マルウェア (コンピュータ ウイルス) を送りつけて開くよう誘う攻撃です。

普通に考えて危ないだけの正体不明な実行ファイルがコチラ♪

  • Eメールの添付ファイル
    圧縮アーカイブ (拡張子 .zip .rar .gz)

  • マルウェアのファイル形式
    ユーザーが手動で圧縮アーカイブを解凍・展開する
    → 不正な Windows 実行ファイル (拡張子 .exe) が登場する

malware
マルウェアの実行ファイル .exe

【Eメールの添付ファイル】
Payment Advice.zip
└ Payment Advice.exe

Payment_Advice.zip
└ Payment_Advice.exe
【情報窃取型マルウェア FormBook
ESET MSIL/Kryptik.ACGM Win32/Formbook.AA
Kaspersky HEUR:Trojan-Spy.MSIL.Noon.gen HEUR:Trojan-PSW.MSIL.Agensla.gen
McAfee PWS-FCZZ!3FBA81AB56C8 PWS-FCUF!9F7F327881E3
Microsoft Trojan:MSIL/AgentTesla!MTB Trojan:MSIL/Stelega.KZ!MTB
Symantec Trojan.Gen.2
Trend Micro TROJ_GEN.R002C0DH721 TrojanSpy.MSIL.NEGASTEAL.SMG

MD5 3fba81ab56c8b5004f6ac361179daba8
MD5 9f7f327881e31daf3cc6abc8995c0942

決して、圧縮ファイルの解凍でウイルス感染 することはありません。

「支払い通知」 に偽装した 実行ファイルをダブルクリックして起動 することが感染の第一条件なので、セキュリティ意識がバッチリな Windows ユーザーさんは、脅威を自分で見極める 「ファイルの拡張子とウイルス対策」 の知識が試されます。

関連するブログ記事

このエントリーをはてなブックマークに追加

<ウイルスメール>暗号化されたアプリケーションダウンロード危険 Amazonお客様?

0ef8c8b2.png

Amazon お客様?

ネット通販サイト Amazon を勝手に名乗って成りすました日本語の怪しい 迷惑メール (スパムメール) を受信したけれど、幾度となくやって来る フィシング詐欺が目的の Amazon 迷惑メール とは何か様子が違う~?

amazon-email-virus
Amazonアマゾン を騙る不審メール

メール件名 (なし)
Аmazon お客様 ,
Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。 残念ながら、Аmazon のアカウントを更新できませんでした。今回は、暗号化されたアプリケーションをダウンロードしてインストールすることにより、本人確認を完了してください。
プログラムのダウンロード
なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。 アカウントに登録のEメールアドレスにアクセスできない場合 お問い合わせ: Amazonカスタマーサービス。
心から,
カスタマーケア.
お知らせ: パスワードは誰にも教えないでください。
個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
オンラインアカウントごとに、異なるパスワードを使用してください。
Amazon.com

フィッシング詐欺メールならば、URL が amazon.co.jp ではない不正なサイトへアクセスするよう誘うのが定番です。

ただ、この Amazon 不審メールは 『暗号化されたアプリケーションをダウンロードしてインストールすることにより、本人確認を完了してください』 『プログラムのダウンロード』 と称して、Windows 向け実行ファイル amazon.exe (拡張子 .exe) を直接ダウンロードしてもらう手口でした。

amazon.exe
Windows 向け実行ファイル
「amazon.exe

amazon-fileserver
ファイルがアップされていたサーバーのディレクトリが丸見え

http:// 27.124.26.155/ amazon.exe
MD5 867e77c9bcb14e79d644bf9528a82c89
SHA-256 e0a2c15d3b5ce492558266ff9f045d9d4dd72490170fb2e4a629b9bc372a4896

実行ファイルは Amazon まったく関係なく、中国製バックドアみたい。

このエントリーをはてなブックマークに追加

↑このページのトップヘ