タグ：パソコン

📅 2022/06/25 | ✏️ Firefly | 💬 5 コメント

<危険>スクリーンセーバーscrは100％ウイルス感染3つの手口まとめ

初回投稿 2014年12月24日

<危険>スクリーンセーバーscrは100％ウイルス感染3つの手口まとめ

Windowsスクリーンセーバー実行ファイル（拡張子.scr）でウイルス、マルウェア、トロイの木馬、スパイウェア感染危険YouTubu動画配信者、NFTアーティスト、P2Eゲーム偽装の「やり取り型サイバー攻撃。

Windows パソコンで スクリーンセーバー の実行ファイルに付けられる拡張子が「.scr」です。

「スクリーンセーバー」の実行ファイル例

拡張子「.scr」の由来は英単語です。

○ screen saver

× screen shot （スクリーン・ショット）

× screen capture （スクリーン・キャプチャ）

× script （スクリプト）

スクリーンセーバーとは焼付き防止からサイバー攻撃へ？

スクリーンセーバーの一般的な動作は、キーボードやマウスが一定時間使われていないタイミングに合わせて Windows パソコンのモニター画面に装飾的な模様の動くアニメーションや時計（日時）を表示する役目でしょう。

Screen Saver スクリーンセーバー設定ウィンドウ Windows 10/11

Windows スクリーンセーバーの設定ウィンドウ

ただ、パソコンの液晶モニターはエコや節電の面から電源 OFF にする方がよく、スクリーンセーバーの需要は以前より減っていると思われます。

スクリーンセーバーの使用目的
大昔	石器時代～ 2000 年代ブラウン管 CRT ディスプレイモニターの焼き付き防止
現代	液晶モニターに焼き付き現象は存在せず・「お飾り」や「お遊び」の自己満足プログラム・パソコンから離席した時のパスワードロック・サイバー攻撃の投入される危険物

■ スクリーンセーバーは実行ファイルと同等

Windows 上で動作するスクリーンセーバー（拡張子 .scr）を内部データ的に見た場合、Windows 向け実行ファイル （拡張子 .exe）と同等のファイル形式です。

＜違いはない

.scr ＝ .exe

つまり、使用する目的が Windows のスクリーンセーバー であると明示されていないのに、拡張子「.scr」を持った未知のファイルは、100％間違いなく危険なマルウェア（コンピュータウイルス） と判断して問題ないです。

■ Mac やスマホでは動作せず影響なし

ちなみに、スクリーンセーバー（拡張子 .scr）の動作環境は Windows パソコンに限定されるので、それ以外の環境では ファイルを開くことができずプログラムとして動作しません。

○ Windows XP/Vista/7/8/10/11

× mac OS

× Android OS

× iOS （iPhone / iPad）

スクリーンセーバーを使うウイルス感染攻撃に注意

スクリーンセーバー（拡張子 .scr）のファイルをダブルクリックして開く行為は、実行ファイル（拡張子 .exe）をダブルクリックして開く行為に等しいです。

不自然な配布経路でスクリーンセーバーを掴ませるウイルス感染攻撃の手口 3 パターンを挙げます。

【1】チートツールや有償製品のクラックを装う

キャラクターを強くして対戦型オンラインゲームを有利にする「チートツール」、本来は購入しないといけない有償製品を「クラック」して無料ダウンロード、といった魅力ある名目で無警戒なユーザーたちをおびき寄せます。

たとえば、YouTube 動画からオンライン・ストレージに投稿されているマルウェアをダウンロードさせるサイバー攻撃が確認されています。

【マルウェア置き場として悪用される正規サービス URL】
cdn.discordapp.com
drive.google.com
dropbox.com
github.com
raw.githubusercontent.com
mediafire.com
mega.nz
onedrive.live.com
sendspace.com
https://fireflyframer.blog.jp/19063702.html

【2】 文書・画像・動画を装いスクリーンセーバーを開くよう誘う

詐欺師がターゲット 1 人に明確に狙いを定めて実行されるサイバー攻撃が確認されています。

「やり取り型」サイバー攻撃
海外企業に所属する関係者を名乗った詐欺師が、Eメール、Twitter や Instagram のダイレクトメッセージ DM を介してターゲットに連絡を寄越す。仕事の依頼や提案に応じた 1 人がウイルス感染の餌食になる。ウイルス感染後の被害例・ブラウザやソフトウェアに保存されている認証情報を盗まれる └ パスワード、クレジットカード情報、認証 Cookie ・保有する仮想通貨が見知らぬアドレスに送金されて盗まれる
ゲーマーに成りすました詐欺師が、Steam クライアントのチャットや Discord クライアントのダイレクトメッセージ DM を使ってターゲットに接触を試みる。興味本位で応答した 1 人がウイルス感染の餌食になる。ウイルス感染後の被害例・オンラインゲームのアカウントハック被害が発生する・勝手にゲームをプレイされる、勝手にゲームを購入される、ゲーム内アイテムを強奪される・乗っ取られた Discord アカウントを悪用してフレンド全員にスパムメッセージを送信する

「やり取り型」サイバー攻撃

海外企業に所属する関係者を名乗った詐欺師が、Eメール、Twitter や Instagram のダイレクトメッセージ DM を介してターゲットに連絡を寄越す。仕事の依頼や提案に応じた 1 人がウイルス感染の餌食になる。

ウイルス感染後の被害例
・ブラウザやソフトウェアに保存されている認証情報を盗まれる
└ パスワード、クレジットカード情報、認証 Cookie
・保有する仮想通貨が見知らぬアドレスに送金されて盗まれる

ゲーマーに成りすました詐欺師が、Steam クライアントのチャットや Discord クライアントのダイレクトメッセージ DM を使ってターゲットに接触を試みる。興味本位で応答した 1 人がウイルス感染の餌食になる。

ウイルス感染後の被害例
・オンラインゲームのアカウントハック被害が発生する
・勝手にゲームをプレイされる、勝手にゲームを購入される、ゲーム内アイテムを強奪される
・乗っ取られた Discord アカウントを悪用してフレンド全員にスパムメッセージを送信する

ターゲットの属性に応じて、手を変え品を変えのサイバー攻撃が展開されるので一例を紹介します。

YouTube 動画配信者 YouTuber
YouTube に動画を投稿するユーザーに照準を合わせたサイバー攻撃。
著名 YouTuber のチャンネルが乗っ取られるキッカケになっている。
→ YouTube チャンネルが乗っ取られたらどうなる？

詐欺師が「あなたの運営する YouTube チャンネルは素晴らしい」とヨイショして、自社開発のソフトウェアの動作レビューや PR を依頼したり、企業案件でコラボ動画を制作しないか提案してくる。
ダウンロードや確認を促される「ソフトウェア」「契約書」を開いたところ、実際にはウイルスのファイルを起動していて感染してしまう。

イラストレーター、NFT デジタルアーティスト
ネット上で活動する絵師に照準を合わせたサイバー攻撃。
→ NFT アートやイラスト制作依頼でウイルス感染

詐欺師が「あなたの作品は素晴らしい」「あなたの絵に惚れた」とヨイショして、仮想通貨や米ドルで報酬を支払うことに触れつつ、自分のために絵を描いてほしいと依頼したり、開発中というゲームのデザインの仕事やイラストの制作を持ち込む。
ダウンロードや確認を促される「イラスト」「資料」「契約書」を開いたところ、実際にはウイルスのファイルを起動していて感染してしまう。

ゲーマー
新しいモノに飛びつきやすく、様々なアカウントを保有するゲーマーに照準を合わせたサイバー攻撃。
→ ゲームのテストプレイ依頼でウイルス感染

詐欺師は「開発中の P2E ゲームのテストプレイをして欲しい」「有料サービスが無料になる特別な方法を教える」「ゲーム内アイテムをタダであげる」といったゲーマーの心をくすぐる魅力的な提案を持ち込む。
起動するよう促される「ゲームのプログラム」を開いたところ、実際にはウイルスのファイルを起動していて感染してしまう。

善人を装った詐欺師と複数回の「やり取り」を経て信用を得た後、様々な名目でファイルの開いて確認するよう誘惑します。

偽の文書
ファイルの名目「契約書」「企画書」「著作権侵害の調査資料」
（拡張子 .doc.scr / .docx.scr / .pdf.scr）
偽の画像や動画
ファイルの名目「資料」「ゲーム画面」「写真」「イラスト」「作品の見本例」
（拡張子 .jpg.scr / .jpeg.scr / .png.scr / .psd.scr / .mp4.scr）
偽のプログラム
ファイルの名目「ゲームのベータ版」「開発中の自作ゲーム」
（拡張子 .exe）

【3】 Eメールでスクリーンセーバーを配布する

迷惑メール（スパムメール）の添付ファイルとしてスクリーンセーバーを受信する、あるいはEメール本文に記載された URL リンクからスクリーンセーバーをダウンロードさせます。

Windows エクスプローラでファイルの種類がスクリーンセーバーのマルウェア.exe

エクセルファイル？ワード文書？ファックスのデータ？
→ アイコンで騙す不正なスクリーンセーバー

スクリーンセーバー添付の不審メール例
金銭の支払い請求書（invoice、インボイス）を装う運送会社を名乗って荷物の配達通知を装う

■ パスワード付き圧縮ファイルが危険！

上のようなサイバー攻撃で、ダウンロードさせようとするファイルの形式がパスワード付きの圧縮ファイルだと厄介です。

～パスワードを付けることが可能な圧縮ファイル～
拡張子「.zip」「.rar」「.7z」

この場合、圧縮ファイル内にコンピュータウイルス（マルウェア）が含まれていたとしても、パスワードで保護（暗号化）されている影響から 様々なセキュリティ保護機能を回避されてしまう 危険性があります。

受け取ったファイルをセキュリティソフトでウイルススキャンしても、診断結果は「無害」と判定するので何ら警告もされず、それを見たユーザーは安全なファイルと入手した確信してしまい、呆気なく詐欺師の罠に足元をすくわれます。

おすすめのセキュリティソフト

スクリーンセーバー scr のウイルス対策

攻撃者が Windows ユーザーを狙ってスクリーンセーバー（拡張子 .scr）を採用する理由は…？

ダブルクリックでウイルス感染
実行ファイルと同じようにユーザーが開く行為でプログラムが即起動する
アイコン画像で見た目の偽装
表示されるアイコン画像を指定できるので、文書・画像・動画っぽく偽装できる
スクリーンセーバーの認知度が低い？
拡張子 .exe と比べて需要が減った影響からかスクリーンセーバーに対する警戒心が薄い

対応が後手に回ることもあるセキュリティソフトにすべてを託さないで、スクリーンセーバーの拡張子「.scr」に注意を払って自分の身は自分で護る ことが重要です。

セキュリティソフト人気ランキング＆機能比較

[scr ファイル開く] [scr ファイル作成] [scr ファイル意味] [scr ファイル再生] [doc.scr ウイルス] [docx.scr ウイルス] [psd.scr ウイルス] [pdf.scr ウイルス] [mp4.scr ウイルス] [scr 拡張子ウイルス] [scr 拡張子開く] …

<解決>エクスプロイトキットとは対策2つウイルス感染防ぐ効果2022

初回投稿 2014年4月5日

<解決>エクスプロイトキットとは対策2つウイルス感染防ぐ効果2022

エクスプロイトキットによるWindowsパソコンの強制的なコンピュータウイルス感染を100％防ぐ無料ウイルス対策2つ。「RIG Exploit Kit」悪用される脆弱性はInternet Explorerブラウザ関連だらけ。

わかりやすくエクスプロイトキットとは
エクスプロイトキットの攻撃経路
エクスプロイトキットのウイルス対策

ウイルス強制感染!!! わかりやすくエクスプロイトキットとは？

次のセキュリティ用語を見かけたけれど、いったい何者でしょうか？

エクスプロイトキット
（英語 Exploit Kit）

わかりやすくエクスプロイトキットとは、自宅や企業などで使われている Windows XP/Vista/7/8/10/11 パソコンを攻撃する場面で採用される 悪意のある不正な Web アプリケーション のことです。

エクスプロイトキット関連の影響環境
Windows	コンピュータウイルスの感染攻撃を仕掛ける主戦場
Mac OS X	だいぶ前に Mac 向けのバックドア Flashback のウイルス感染例あり（「Java for Mac」の脆弱性を悪用）
Android OS	だいぶ前にスマホ/タブレット/スマートTVの画面をロックするランサムウェア感染例あり（「Android 標準ブラウザ」の脆弱性を悪用）

エクスプロイトキットの目的は、ターゲットとなる端末に コンピュータウイルス（マルウェア）を ”強制的” にダウンロードさせて感染 させることです。

エクスプロイトキットの攻撃経路はネットサーフィン中

Web アプリケーションであるエクスプロイトキットに出会うタイミングは 2 パターンあります。

Web 広告のサーバーから不正なコンテンツが配信される
国内外の一般サイトで目にする Web 広告を介して攻撃処理が流れてくる
→ 広告配信システムを悪用する「マルバタイジング」と呼ばれる攻撃
改ざん被害を喰らってる Web サイトを運悪く閲覧する
企業や個人が管理する国内外の Web サイトが第三者にハッキングされている

【マルバタイジングとは？】
マルバタイジング「malvertising」は、「malware」＋「advertising」に由来する造語

Q. 広告のバナーやリンクをユーザーがポチッとクリックしなければ危険性なし？
いいえ。様々な広告コンテンツを ”表示” するブラウザの内部処理だけで攻撃を喰らうリスクがあります。

Q. コンテンツブロッカー機能を持つブラウザ拡張機能は有効？
広告コンテンツの表示を抑制する拡張機能によって、広告配信サーバーから流れてくるエクスプロイトキットの遭遇率を下げる効果は十分にあります。ただ、正規の Web サイトそのものがハッキングされるシチュエーションでは効果が期待できません。

エクスプロイトキットに遭遇するのはブラウザでてネットサーフィン中というのが基本なので、次のような作業で出会うことはありません。

善人を装う詐欺師から DM で受け取ったファイルをダブルクリックして開く
メールソフトや Web メール上で受信したEメールの本文を読む
Eメールの添付ファイルをダブルクリックして開く
パソコンの USB ポートに USB フラッシュメモリを接続する

ただ。、エクスプロイトキットはユーザーの目視で明らかに異常に気づける脅威でもなく、Windows ユーザーさんに対して次のウイルス対策を提案するのは無謀です。

× 注意を払ってエクスプロイトキットの攻撃をササッとよける

× ブラウザで怪しい海外サイトやエッチなサイトを閲覧しない

無料！エクスプロイトキットに効果的なウイルス対策 2 つ

エクスプロイトキットを採用してウイルス感染攻撃が成功するか失敗するか？

その成否は PC にセキュリティ上の欠陥（脆弱性：ぜいじゃくせい）が存在し、それを上手く悪用できるかどうか次第です。

ところが、脆弱性は無料で提供されている最新バージョンで修正済み なので、ブラウザの脆弱性を解消してエクスプロイトキットを無に帰すウイルス対策が重要です。

【ウイルス対策に最新の Windows ブラウザを使う】
Microsoft Edge （Chromium ベース）
Google Chrome
Mozilla Firefox

一方、サポート終了済みで旧式のブラウザやプラグインは、エクスプロイトキットの影響を受けやすく使用禁止です。

【ウイルス対策に旧 Windows ブラウザを使用しない】
Internet Explorer … 2022年6月にマイクロソフトのサポート終了
Microsoft Edge 従来版 … 2021年3月にマイクロソフトのサポート終了

【Internet Explorer 向けの旧プラグインも使用しない】
Adobe Flash Player … 2020年12月に Adobe のサポート終了
Adobe Reader
Adobe Shockwave Player … 2019年4月に Adobe のサポート終了
Oracle Java （JRE）
Microsoft Silverlight … 2021年10月にマイクロソフトのサポート終了

Microsoft Defender を代表的に、Windows 10 や Windows 11 には何かしらセキュリティソフトがインストール済みだけど、その導入の効果に 脆弱性そのものは解消しない ところがポイントです。

エクスプロイトキットの対策？
セキュリティ製品の購入を提案するだけの「広告」ページに注意

■ エクスプロイトキットのウイルス対策は無料♪

Windows 10 や Windows 11 でエクスプロイトキットの脅威に 100％対抗する効果的な 無料ウイルス対策 2 つ がこれ！

毎月の定例更新 Windows Update は実施できていますか？
https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx
インストールしてあるブラウザは最新版に更新できていますか？
「Microsoft Edge」「Google Chrome」「Mozilla Firefox」

マイクロソフトのサポートが終了した Windows XP、Windows Vista、Windows 7、Windows 8、大昔にもてはやされて狙われやすいブラウザ Internet Explorer は、攻撃に悪用されうる脆弱性の修正がもう行われません。

これは脆弱性が新たに発見されていく時間の経過に伴って使用するリスクが上昇していき、すでに危険レベルが振り切れているから、「危険！使用しないで！」という呼びかけになっています。

激安価格な中古ノートパソコン

（参考）エクスプロイトキットの種類とウイルス検出名

エクスプロイトキットは 1 つだけではなく、複数のブランドが存在します。

特にロシア語圏の攻撃者グループが、マルウェア（コンピュータウイルス）を拡散させたいサイバー犯罪者を相手にエクスプロイトキットを使用する権利を貸し出すサービスを提供しているみたいです。

Internet Explorer (CVE-2016-0189 CVE-2018-8174) / Microsoft Edge (VE-2016-7200) / Flash Player (CVE-2015-3105 CVE-2015-5119 CVE-2018-4878) / Java (CVE-2011-3544 CVE-2012-4681 CVE-2013-0422)

〔2018年〕エクスプロイトキットで悪用される脆弱性
（出典 Malwarebytes）

RigEK Silverlight (CVE-2016-0034) / Neutrino Flash (CVE-2016-4117 CVE-2016-1019) / Angler Flash (CVE-2016-4117 CVE-2016-1001) Silverlight (CVE-2016-1034) / Sundown Silverlight (CVE-2016-0034) / Nuclear Flash (CVE-2016-1019) / Magnitude Flash (CVE-2016-4117 CVE-2016-1019)

〔2016年〕エクスプロイトキットで悪用される脆弱性
（出典 Trend Micro）

〔2015年〕エクスプロイトキットで悪用される脆弱性
（出典 Malwarebytes）

ネットサーフィン中にエクスプロイトキットが仕掛けられた不正なページが読み込まれると、「実行ファイルをダウンロードして保存していいか？」とか「ダウンロードされた実行ファイルを起動してもいいか？」といった確認の場面が一切なく、コンピュータウイルス（マルウェア）の感染が実現しうることになります。

エクスプロイトキットを介してマルウェアに強制感染する
Ursnif、Ramnit、Dridex、AZORult、Smoke Loader、Phorpiex、Fareit、RedLine など
エクスプロイトキットを介してランサムウェアに強制感染する
GandCrab、Locky、Mole Ransomware、Cerber、Sodinokibi など

ユーザーは実被害が発生して始めて異変に気づくかもしれないし、あるいは感染した事実にすら気づけない恐れもあります。

■ 現役の「RIG Exploit Kit」で悪用される脆弱性

2022 年においても攻撃が観測されているというエクスプロイトキットの 1 つ「RIG Exploit Kit」（RIG EK）は、ブラウザの「Internet Explorer」「Microsoft Edge 従来版」、アドオンの「Adobe Flash Player」の脆弱性を悪用します。

【エクスプロイトキット「RIG Exploit Kit」で悪用される脆弱性】

CVE-2021-26411 「Microsoft Internet Explorer 9、11、Microsoft Edge には、メモリ破損の脆弱性が存在します。」

CVE-2020-0674 「Microsoft が提供する Internet Explorer の JScript スクリプトエンジンには、メモリ破損の脆弱性が存在します。」

CVE-2019-0752 「Internet Explorer 10 および 11 には、スクリプトエンジンが Internet Explorer のメモリ内のオブジェクトを処理する方法に不備があるため、リモートでコードを実行される脆弱性が存在します。」

CVE-2018-8174 「複数の Microsoft Windows 製品には、VBScript エンジンのメモリ内のオブジェクト処理に不備があるため、リモートでコードを実行される脆弱性が存在します。」

CVE-2016-0189 「Internet Explorer 9 から 11 およびその他の製品で使用される Microsoft (1) JScript および (2) VBScript エンジンには、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。」

CVE-2015-2419 「Microsoft Internet Explorer 10 および 11 の JScript 9 には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。」

CVE-2015-0313 「Adobe Flash Player には、ヒープベースのバッファオーバーフローの脆弱性が存在します。」「Windows 版と Macintosh 版の Adobe Flash Player 16.0.0.296 以前のバージョンに重大な脆弱性 (CVE-2015-0313) が存在します。この脆弱性に付け込まれた場合、クラッシュを引き起こしたり、場合によっては対象システムが攻撃者に乗っ取られたりするおそれがあります。」

CVE-2014-6332 「複数の Microsoft 製品の OLE には、任意のコードを実行される脆弱性が存在します。」

CVE-2013-2551 「Microsoft Internet Explorer 6 から 10 は、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。」

https://www.prodaft.com/resource/detail/rig-rig-exploit-kit-depth-analysis

【エクスプロイトキット「Spelevo Exploit Kit」で悪用される脆弱性】

CVE-2018-8174 「複数の Microsoft Windows 製品には、VBScript エンジンのメモリ内のオブジェクト処理に不備があるため、リモートでコードを実行される脆弱性が存在します。」

CVE-2018-15982 「Adobe が提供する Flash Player および Flash Player Installer には、次の脆弱性が存在します。Adobe Flash Player に解放済みメモリの使用 (Use-after-free) (CWE-416) - CVE-2018-15982」「Windows 版、macOS 版、Linux 版、および Chrome OS 版の Adobe Flash Player を対象としたセキュリティアップデートが公開されました。これらのアップデートは、Adobe Flash Player におけるクリティカルな脆弱性と、Adobe Flash Player における重要の脆弱性に対処します。この脆弱性が悪用されると、現在のユーザーのコンテキストでの任意のコード実行や権限昇格の原因になりかねません。」

https://blog.talosintelligence.com/spelevo-exploit-kit/

脆弱性の ID 番号は「CVE-[報告された西暦]-****」になっているので、エクスプロイトキットで悪用される脆弱性に対処する無料ウイルス対策ができている Windows 10 や Windows 11 ならば影響なしです。

サポート切れの Windows は危険という理由
2021年4月	CVE-2021-26411 に対処するセキュリティ更新プログラムを配信
2020年2月	CVE-2020-0674 に対処するセキュリティ更新プログラムを配信（サポート終了済みだった Windows 7 にも特別に配信された）
2020年1月17日	マイクロソフトが未修正の脆弱性 CVE-2020-0674 を報告
2020年1月14日	マイクロソフトによる Windows 7 のサポート終了
2017年4月	マイクロソフトによる Windows Vista のサポート終了
2014年4月	マイクロソフトによる Windows XP のサポート終了

■ エクスプロイトキットの攻撃は意外と身近!?

エクスプロイトキット「RIG Exploit Kit」（RIG EK）を使ってネットバンキング不正送金被害に繋がるコンピュータウイルス（マルウェア）を感染させるサイバー攻撃が確認され、ここに日本の複数の正規サイトが意図せず加担していたおっかない事案が報告されています。

RIG-EK 改ざんサイト無害化の取組（JC3 日本サイバー犯罪対策センター）
https://www.jc3.or.jp/threats/archive/topics/op_rigek.html

JC3 では、攻撃ツール RIG-EK を使用した不正プログラムの感染拡大を把握しており、日本の改ざんサイトの無害化に取り組んでおります。
JC3 では、不正送金事犯情報分析プロジェクト及び脅威情報活用ワーキンググループの参加企業が中心となり、全国の RIG-EK 改ざんサイトに関する情報を収集してきました。これらの改ざんされたウェブサイトを閲覧したユーザは、不正プログラムに感染してインターネットバンキングの不正送金などの犯罪の被害にあうおそれがあります。

ウイルス感染を目的としたウェブサイト改ざんの対策について（警察庁）
https://www.npa.go.jp/cyber/policy/pdf/rig.pdf

一般財団法人日本サイバー犯罪対策センター (JC3) と連携した分析により、平成28年9月頃から、「RIG-EK」と呼ばれる攻撃ツールが組み込まれたサイトに誘導するよう改ざんされたウェブサイトが急増していることが確認された。
国内の改ざんされたサイトの管理者が判明した 298 サイトについて、38 都道府県警察において、当該サイト管理者等に対して、改ざん状況の確認、サイトの修復の依頼等の対策を実施。

■ エクスプロイトキットのウイルス検出名

マイクロソフトのセキュリティソフト Windows Defender が定義するエクスプロイトキットのウイルス検出名です。

・ Nuclear Pack
Exploit:JS/Neclu Exploit:HTML/Neclu Exploit:SWF/Neclu

・ Angler Exploit Kit
Exploit:JS/Axpergle Exploit:HTML/Axpergle Exploit:SWF/Axpergle

・ Nutrino Pack
Exploit:HTML/NeutrinoEK Exploit:JS/NeutrinoEK TrojanDownloader:JS/NeutrinoEK Exploit:JS/Urntone

・ FlashPack Exploit Kit
Exploit:JS/Fashack Exploit:HTML/Fashack Exploit:SWF/Fashack Exploit:Java/Fashack

・ GongDa Pack, KaiXin Exploit Kit → 珍しい中国製
Exploit:JS/DonxRef VirTool:JS/DonxRef Exploit:JS/Kaixin Exploit:HTML/Kaixin

・ Fiesta Exploit Kit
Exploit:JS/Fiexp Exploit:HTML/Fiexp Exploit:Win32/Fiexp Exploit:Java/Fiexp

・ RIG Exploit Pack, Goon/Infinity Exploit Kit
Exploit:JS/Meadgive Exploit:HTML/Meadgive Exploit:SWF/Meadgive TrojanDownloader:HTML/Meadgive Exploit:Java/Meadgive TrojanDownloader:VBS/Meadgive Exploit:JS/Rigploit

・ Magnitude Exploit Kit
Exploit:HTML/Pangimop Trojan:JS/Pangimop Behavior:Win32/Pangimop

・ Stegano Exploit Kit, Astrum
Exploit:HTML/SteganoEK

・ Sundown Exploit Kit
Exploit:HTML/SundownEK Exploit:JS/SundownEK

・ Sweet Orange Exploit Kit
Exploit:JS/Anogre Exploit:Java/Anogre Exploit:SWF/Anogre Exploit:Win32/Anogre Exploit:Win64/Anogre TrojanDownloader:Win32/Anogre

・ Blackhole Exploit Kit, Cool Exploit Kit → 開発者とされるロシア人が摘発された
Exploit:JS/Blacole Exploit:Java/Blacole Exploit:SWF/Blacole Trojan:JS/BlacoleRef Trojan:HTML/BlacoleRef Exploit:JS/Coolex Exploit:JS/Aimesu Exploit:JS/Blacole.GB

・その他
Exploit:HTML/Wecalo Exploit:HTML/Tunec

エクスプロイトキットが仕掛けられた不正なページの <JavaScript> タグ、あるいは <iframe> タグのウイルス検出名です。

Exploit:HTML/IframeRef
Exploit:HTML/IframeRef.gen
Exploit:HTML/IFrame
Trojan:JS/IframeRef
Trojan:JS/Redirector
Trojan:JS/Quidvetis
Trojan:JS/Seedabutor
Trojan:HTML/Redirector

これらのウイルス検出名をキーワードに Google や Yahoo! で調べると、評価の低いシステムメンテナンスソフト SpyHunter 5、Wiper Soft、Reimage Repair をダウンロードするよう誘う偽セキュリティ情報サイト（詐欺サイト）がヒットします。

<感染>顔文字ウイルスメール対策3つとPhorpiexボットネット

初回投稿 2016年6月18日

<感染>顔文字ウイルスメール対策3つとPhorpiexボットネット

Windows攻撃ターゲットでトロイの木馬・ワームPhorpiexボットネットによる不審な迷惑メール送信手口。スクリプトファイルや実行ファイルでランサムウェア感染、ビットコイン脅迫セクストーションメール、仮想通貨Moneroクリプトマイニング被害。

迷惑メール（スパムメール）を不特定多数にバラ撒いて、ウイルス感染させる攻撃の実例です。

メールの送信者として、ドコの誰とも分からん外国人の女性名が記載されてある Eメール で、そのメールに添付されたファイルを確認するよう誘惑する手口です。

【迷惑メール件名例 - Phorpiex スパムボット】
Always thinking about you
Are you ashamed??
Check out my photo from instagram
Do you know her?
Do you know him?
Do you know them?
Do you know this person?
Do you like it?
Do you like my photo?
Do you think I can share this picture?
Don't show anyone!
Felt in love with you!
Good enough for facebook?
I hope my photo is good enough
I hope my picture is good enough
I like this photo
I love this photo
I love you
Is my photo good enough?
Is this you?
Is this your photo?
Just for you!
Keep it private!
Keep this photo private
Keep this picture secret
Keep this picture to yourself
Keep this private
Look at this photo!
Love
Love you
My favourite photo
My friends told my pic isn't good enough
My letter just for you
My love letter for you
My new photo
My photo
My photo for you
New photo for you
Our photo
Photo de vous???
Photo just for you
Photo of last party
Photo of the day
Photo of us
Photo of you???
Picture for you
Picture of you??
Please rate my photo
Please read and reply
Rate my new photo please!
Rate my picture
Really your picture?
Seen this photo?
Should I upload this pic on instagram?
Should I upload this picture on facebook?
Someone showed me your picture
Take a look at my new picture please
Take a look please
Tell me what you think of this picture
This is my love letter to you
This is the funniest picture ever!
What do you think of my new hair?
What you think of my new hair color?
What you think of this picture?
Whats wrong with this photo?
Why you look so ugly here?
Wrote my thoughts down about you
Wrote the fantasy about us down
Wrote this letter for you
You'd Be Surprised
You are my love!
You got caught!
You like this photo?
You look good here
You look so beautiful on this picture
You look so ugly here
You really should see this
You should take a look at this picture
You will be shocked!
Your new photo?
Your opinion needed!
Your photo
Your photo isn't really that great

英語メールの件名の一部を日本語にチョイと翻訳しておくと、次のような意味になります。

「この人、知ってる？」
「これはあなた？」
「私の新しい髪型どう？」
「私の新しい髪の色どう？」
「この写真、超キレイ」
「この写真の感想を教えて」
「この写真を Facebook にアップしていい？」
「この写真を Instagram にアップしていい？」
「あなたへのラブレターです」
「あなたのことをいつも考えてます」
「あなたと恋に落ちました」
「あなたが好きです」
「あなたの意見が欲しい」
「私の新しい写真を評価してくれない？」
「誰にも見せないで！」

また、2019年～に確認されたEメールとして、件名に「欧米圏で使われている顔文字の記号」「日本の有名芸能人のアルファベット表記」が使われました。

【迷惑メール件名例 - Phorpiex スパムボット】
:) ;) :D :* 8) 8-) :-) :-D ;-)
:) ;) :* :D ;D ;* :-) ;-) :-*
:) ;) :* :-) ;-) :-* :D :-D 8-) 8-D

【迷惑メール件名例 - Phorpiex スパムボット】
Yui Aragaki ;) Aya Ueto ;) Yuriko Yoshitaka ;) Erika Toda ;) Maki Horikita ;) Erika Sawajiri ;) Kyoko Fukada ;) Nozomi Sasaki ;) Hikaru Utada ;) Namie Amuro ;) Kyary Pamyu Pamyu ;) Ayumi Hamasaki ;) Sheena Ringo ;) Misia ;)
Ai Hashimoto! Ai Otsuka! Aikawa! Airi Matsui! Akina Nakamori! Alice Hirose! Angela Aki! Aoi Miyazaki! Aya Ueto! Ayaka! Ayame Goriki! Ayumi Hamasaki! Ayumi! Chara! Chihiro Onitsuka! Crystal Kay! Eir Aoi! Emi Hinouchi! Emi Takei! Erika Sawajiri! Erika Toda! Hamasaki! Haruka Ayase! Haruma Miura! Haruna Kawaguchi! Haruna Kojima! Hayashibara! Hibari Misora! Hikaru Utada! Hiroshi Abe! Hiroyuki Sanada! Honoka Miki! Izumi Sakai! Jin Akanishi! Kaela Kimura! Kana Nishino! Kanata Hongo! Kanna Hashimoto! Kasumi Arimura! Kazunari Ninomiya! Keiko Fuji! Keiko Kitagawa! Ken Watanabe! Kento Yamazaki! Kiko Mizuhara! Koichi Domoto! Kumi Koda! Kyary Pamyu! Kyoko Fukada! Maaya Sakamoto! Mai Kuraki! Maki Goto! Maki Horikita! Maki Ohguro! Mao Inoue! Mariya Nishiuchi! Masahiro Nakai! Megumi Hayashibara! Megumi Yamano! Meisa Kuroki! Mika Nakashima! Mikako Tabe! Miki Imai! Miliyah Kato! Minako Honda! Minori Chihara! Mirei Kiritani! Miyuki Nakajima! Mizuki Yamamoto! Momoe Yamaguchi! Namie Amuro! Nana Komatsu! Nana Mizuki! Nanako Matsushima! Nanase Aikawa! Norika Fujiwara! Nozomi Sasaki! Olivia Lufkin! Pamyu! Reina Triendl! Rina Aiuchi! Ringo Sheena! Rinko Kikuchi! Rosa Kato! Ryoko Hirosue! Ryuhei Matsuda! Satomi Ishihara! Satoshi Tsumabuki! Seiko Matsuda! Sho Sakurai! Shota Matsuda! Shun Oguri! Sonny Chiba! Sota Fukushi! Suzu Hirose! Tadanobu Asano! Takayuki Yamada! Takenouchi! Takeru Sato! Takeshi Kaneshiro! Takeshi Kitano! Tatsuya Fujiwara! Thelma Aoyama! Tina Tamashiro! Toma Ikuta! Tomiko Van! Tomohisa Yamashita! Tomomi Itano! Tomomi Kahara! Tsubasa Honda! Wakana Aoi! Yoko Kanno! Yoshitaka! Yu Yamada! Yui Aragaki! Yui! Yukie Nakama! Yumi Matsutoya! Yuriko Yoshitaka! Yutaka Takenouchi! Firefly

Eメールの添付ファイルは？スクリプトファイルが危険

そんな迷惑メール（スパムメール）で手元にやって来た添付ファイルの種類は具体的に何でしょ？

次のような zip 形式 の圧縮アーカイブでした。

画像？写真？

圧縮ファイルのままでは ”武器” としての攻撃能力がサッパリ無いので、手動で展開・解凍する作業を行うと、中身はこんな感じ。

【ウイルスメール添付ファイル例】
Photo-[数字]-[数字].jpg.zip
↓ 解凍・展開

Photo-[数字]-[数字].jpg.scr

写真・画像ではない！

【ウイルスメール添付ファイル例】
PIC_[数字]_2020.zip
IMG[数字]_jpg.zip
↓ 解凍・展開

PIC_526246_2020_jpg.vbs
IMG4956432020_jpg.vbs

写真・画像ではない！

Love You 愛のラブレターではない！

【ウイルスメール添付ファイル例】
IMG[数字].jpg.js.zip
IMG[数字]-JPG.zip
PIC[数字]-JPEG.zip
IMG[数字]_2018-JPG.zip
Love_You_2018_[数字].zip
Love_You_[数字]-2019-txt.zip
Love_You_2019_[数字]-txt.zip
Love_You_[数字]_2019.zip
PIC0-[数字]2019-jpg.zip
PIC[数字]2019-jpg.zip
PIC[数字]-JPG.zip
　↓ 解凍・展開

IMG[数字].jpg.js
IMG[数字]-JPG.js
PIC[数字]-JPEG.js
IMG[数字]_2018-JPG.js
Love_You_2018_[数字].js
Love_You_[数字]-2019-txt.js
Love_You_2019_[数字]-txt.js
Love_You_[数字]_2019.js
PIC0-[数字]2019-jpg.js
PIC[数字]2019-jpg.js
PIC[数字]-JPG.js

■ ファイルの拡張子に注意を払うウイルス対策

まず、ファイル名の視覚的なトリックに惑わされてはいけません。

「photo」「pic」「picture」「IMG」「JPG」「JPEG」
→ 写真や画像を見るよう誘う
jpeg 形式の画像や写真
「Love You」「txt」
→ ラブレターの文書を読むよう誘う
テキスト文書

ただ、Windows PC 向けの 拡張子に注意を払うウイルス対策（無料）ができているならば、メールのやり取りで送受信するファイル形式として、.js .vbs ファイルは明らかに普通ではなく異常です。

このような場合に、対応が後手に回ることがあるセキュリティソフトにすべてを託さず、自力で脅威を見抜けるようにしておくのは、Windows PC のセキュリティ対策としてけっこう大事です。

＜”知識” で防御を

ファイルの拡張子
→ 「～ .js」
→ 「～.vbs」
ファイルの種類
Windows スクリプトファイル
→ 「JavaScript ファイル」「JScript Script ファイル」
→ 「VBScript Script ファイル」

■ スクリプトファイルの動作環境は？

スクリプトファイル .js .vbs の動作環境は Windows XP/Vista/7/8/10 だけなので、ウイルスメールの攻撃対象は特定の環境に限定されます。

macOS → 動作しないファイル形式だから影響なし

Android スマホ

iOS （iPhone / iPad）

ガラケー

人体

ランサムウェア、ネットバンキングウイルスなどに感染する

Windows ユーザーさんが、不正なスクリプトファイル .js .vbs を何気なくポチポチッとダブルクリックして開いてしまうと、バババーンと攻撃処理の発動です。

Love You、Photo、顔文字、有名芸能人の名前が登場する迷惑メールの正体は、添付ファイル型の ウイルスメール となります。

ウイルスメールを単に受信しただけ → いっさい何も起こらない

メールソフトのプレビュー機能 → ウイルス感染の引き金にならない

■ メインのマルウェアを PC に送り込む

この .js .vbs ファイルの目的は？

Windows のシステムにあらかじめ用意されてる次の正規プログラムを介して外部ネットワークに接続を試みて、何かしらマルウェアの実行ファイルをダウンロードしてきて起動する処理を含んでます。

wscript.exe
powershell.exe
bitsadmin.exe

正規プログラムを悪用する理由は、攻撃の妨害をしてくるセキュリティソフトの検出を効果的にスルーッとスリ抜けさせるためです。

Microsoft が開発した正規のプログラム → セキュリティソフトは脅威と判定しない

Windows のシステムに最初から用意されてある → 攻撃者は気軽に悪用し放題

ダウンロードされる実行ファイルは？

ワーム、偽セキュリティソフト、ネットバンキングウイルス、ランサムウェア、仮想通貨マイニングウイルス、バックドア、スパイウェアなど、攻撃者のその時の気分次第で変動します。

→ ウイルス/スパイウェア/トロイの木馬スキャンツール駆除対応でオンラインなし

無料ウイルス対策！ 100％感染被害を防げる方法

『怪しいメールを開くな！』『不審なファイルを開くな！』といった気合で乗り切る精神論は危ないです。

代わり、ウイルス感染被害を100％確実に回避できる強力な ウイルスメール対策 として、攻撃者の出鼻をボキボキボキッとくじく 不正なファイルを無害化する方法 が効果ありです。

拡張子 js vbs wsf ファイルのウイルス対策
https://fireflyframer.blog.jp/19064102.html
拡張子 doc docm xls xlsm ファイルのマクロウイルス対策
https://fireflyframer.blog.jp/19063931.html
Windows 10 ファイアウォールの設定でウイルス対策
https://fireflyframer.blog.jp/19064221.html

感染手口に沿う無料ウイルス対策をあらかじめ実施してある Windows ユーザーさんは、”うっかり” をいくらやっても感染攻撃は100％失敗するから最強です。

＜いっさいお金もかからない

激安価格な中古ノートパソコン

ウイルス感染バックヤードに Phorpiex ボットネット

迷惑メールがドバドバ配信される裏側がヤバい！

これはワームに分類される Phorpiex （読み方「フォーピークス」）、開発者の呼称「Trik」に感染し、攻撃者が遠隔操作できる複数の Windows からメール送信が実施されています。

■ Phorpiex ダウンローダー

ロシア語圏のアンダーグラウンド上で展開されていると想定されるアフィリエイトのキャンペーン（マルウェアの配信で報酬を得る）に参加して、任意の実行ファイルを攻撃者の気分次第でダウンロードさせて起動する

ボットネット
「Phorpiex」
ランサムウェア
「GandCrab Ransomware」
「NEMTY 2.5 REVENGE」
「Avaddon Rasnomware」
「W3CRYPTO LOCKER」（BitRansomware）
クリプトマイニング
「Monero XMR Miner」
インフォスティーラー
「Raccoon Stealer」
「Predator the Thief」
その他
「Ursnif」

Phorpiex ボットネットの通信手段として、当初の IRCプロトコル → TCPプロトコル＆Torプロトコル が採用されている

■ セキュリティ製品の検出迂回

Windows セキュリティセンターによる通知の表示を無効化する
セキュリティソフト Windows Defender を無効化して動作しないようにする

DisableScanOnRealtimeEnable
DisableOnAccessProtection
DisableBehaviorMonitoring
AntiVirusOverride
UpdatesOverride
FirewallOverride
AntiVirusDisableNotify
UpdatesDisableNotify
AutoUpdateDisableNotify
FirewallDisableNotify
DisableAntiSpyware

■ Phorpiex ワーム

USB フラッシュメモリ
不正なショートカットファイルと自分自身のコピー「DeviceManager.exe」「DriveMgr.exe」を作成する
正当な PE 実行ファイルを改ざんする
Phorpiex ボットネットをダウンロードする攻撃処理が含まれた「.zero」セクションを追加する
圧縮アーカイブ .zip .rar ファイル内に自分自身のコピー「Windows Archive Manager.exe」を追加する

■ Phorpiex スパムボット

不正なファイル .js .vbs .doc を添付したEメールを世界中に送信する
Bitcoin、DASH、Monero、Ethereum を要求して脅迫するEメールを世界中に送信する

■ Phorpiex クリプトジャッキング

Windows のクリップボードを監視する
コピーされた Bitcoin などのウォレットのアドレスをコッソリ書き換えて仮想通貨を盗む
コインマイナーの実行ファイルを起動して仮想通貨 Monero をマイニングする

■ Windows サーバーへ遠隔感染

VNC サーバー（tcp/5900 ポート）に脆弱なパスワードで不正アクセスする
NetBIOS （tcp/139 ポート）に脆弱なパスワードで不正アクセスする
Phorpiex ボットネットやランサムウェアをダウンロードして遠隔感染させる

【Phorpiex セキュリティソフト検出名例】
ESET Win32/Phorpiex Win32/Phorpiex.Q Win32/Phorpiex.V Win32/Phorpiex.W Win32/Phorpiex.X Win32/Phorpiex.Y Win32/Phorpiex.AB Win32/Phorpiex.AG Win32/Phorpiex.AE Win32/Phorpiex.AN Win32/AutoRun.IRCBot Win32/CoinMiner.BEX PowerShell/TrojanDownloader.Agent.DV Win32/TrojanDownloader.Agent.EQH Win64/TrojanDownloader.Agent.EB Win32/TrojanDownloader.Agent.FKA
Kaspersky Trojan-Downloader.Win32.Trik HEUR:Trojan-Dropper.Win32.Phorpiex HEUR:Trojan-Downloader.Script.Generic Trojan.Win32.Patched.rw Trojan.Win64.Patched.q
Microsoft Worm:Win32/Phorpiex Worm:Win32/Phorpiex.AF!bit Backdoor:Win32/Phorpiex Backdoor:Win32/Phorpiex.YP!bit Backdoor:Win32/Kirts.A Backdoor:Win32/Kirts!rfn Trojan:Win32/Kryptomix Worm:Win32/Phorpiex!lnk Trojan:Win32/Gandcrab.AF Worm:Win32/Phorpiex.G!MTB TrojanDownloader:PowerShell/Ploprolo.A TrojanDownloader:Win32/SmallAgent!MTB TrojanDownloader:Win32/SmallAgent!atmn Trojan:Win32/Phorpiex!MSR Trojan:Win32/Phorpiex.SM!MSR Worm:Win32/Phorpiex!MSR Trojan:Win32/Phorpiex.SBR!MSR TrojanDownloader:Win32/Phorpiex.MK!MTC TrojanDownloader:Win32/Phorpiex.C
Symantec Trojan.Wortrik Trojan.Wortrik!lnk ISB.Downloader!gen48
Trend Micro Worm.Win32.PHORPIEX WORM_PHORPIEX WORM_TRIK.A Trojan.INF.PHORPIEX.AVL Mal_OtorunG Worm.LNK.PHORPIEX Trojan.Win64.SMALL.SMTX

【Phorpiex レジストリ・ファイル】
HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

値の名前 → Microsoft Windows Services
値のデータ → C:\Windows\[数字]\winsvcs.exe

値の名前 → WinCfgMgr
値のデータ → C:\Windows\[数字]\wincfg32svc.exe

Microsoft Windows Driver Configuration / Microsoft Windows Driver Manager / Microsoft Windows Installer Svc / Microsoft Windows Service Installer / Microsoft Windows Update Services / Microsoft Windows Services Mgr / Windows Security Manager / Microsoft Windows Services / Windows Security Manager 32 / Microsoft Windows Driver Service / Windows Security Svcscs / Windows Firewall Service / WCfgMgr / WDrvConfiguration / WCfgMgr32 / Windows NetBIOS Driver / NetBIOS Driver Security / Microsoft Windows Services Manager / WindowsServicesUpdates32 / Windows DDGG / Windows Update [num] / Windows Upgrade [num] / Windows Firewall Manager / Microsoft Service Manager / Windows Audio Device Graph Isolation
windrvmgr.exe windrvcfg.exe wincfg.exe wincfg32.exe wincfgrmgr32.exe windrv.exe winmgr.exe winmgr32cfg.exe winsrvc32.exe winsvcin32.exe winsvcinstl.exe winupd.exe winupd32.exe winupd32cfg.exe winupd32svc.exe winupsvcmgr.exe svchostx64.exe winsvcsmgr.exe winsecmgr.exe wincfgmgr32.exe winsvcmgrcfg.exe winsecmgr32.exe winsecmgrv.exe winupsvccfg.exe winfrwsvc.exe wcfgmgr.exe windrvconfig.exe wcfgmgr32.exe winnbsmgr.exe wnbdrv.exe winnetdrv.exe win****.exe winsvcmngr.exe winnbdrv.exe windrv32.exe audiodg.exe winupdsvcs.exe wpdsvcs.exe wudsvsmgr.exe

Windows Operating System / Microsoft Windows Driver / Host Process for Windows Services
sys****.exe svchost.exe


【セクストーション スパムメール】
[SUBJECT]
Access to your computer / Access to your pc / All in my hands / All in your hands / All your data / Backup of your data / Better pay me / Better think twice / Call me the collector / Can publish all your data / Collected all your data / Collection of your life / Dark future? / Don't ignore this / Don't ignore this mail / Don't miss your chance / Found on your pc / Good future? / Good material of you / Got everything! / Hacked you / I can publish everything / I can ruin your life / I can share everything / I got all your data / I got the power / I got video of you / I hacked you / I know all your secrets / I know everything / I know everything about you / I know your password / I publish everything! / I recorded you  / I will let everyone know / I won't wait too long / I won't warn you again / Infected / Infected your computer / Me the collector / Next time update / No longer private? / One chance / Only you can do it / Privacy / Privacy of you / Recorded you / Recorded you mastrubating / Save your ass / Save yourself / Seen you mastrubating / Shit happens / Stop mastrubate / Stuff I found / Till now all good / Video of you mastrubating / Vids of you / Waiting for payment / What if they just knew? / What if?! / You better pay / You better read this / You got infected / You got recorded / Your computer / Your computer infected / Your data / Your data no longer private? / Your future / Your infected computer / Your life / Your password is / Your privacy / Your whole privacy

[BODY]
Hello, some time ago your computer was infected with my private software, RAT (Remote Administration Tool).
I know your password at the time of infection was:
My software gave me access to all your accounts, contacts and it was possible to spy on you over your webcam.
I was spying on you sometimes and then once I was shocked seeing you started to MASTRUBATE! ;-D
You got 2 days time.
For a short moment I was like paralyzed and didn't knew how to react haha, but then I recorded you with the software: Bandicam, you can Google it if you want.
I can share the video of you with all your friends, contacts, post it on social networks and everywhere else.
You can stop me, send 800$ with the cryptocurrency Ethereum (ETH).
It's easy to buy Ethereum (ETH), for example here: ccswap.myetherwallet.com , btcdirect.eu , bitvavo.com , anycoindirect.eu , or Google another exchanger.
My Ethereum (ETH) wallet is: 0xB1c179C9bdD0593a2868B2aA0F469659bbf49411

Hey, today I got some bad news for you.
Some time ago your computer was infected with my private malware, RAT (Remote Administration Tool).
That's why I know your password:
My RAT gave me full access to all your files, accounts, contacts and it was possible to spy on your desktop and on you over your webcam.
You can google about the functions of Remote Administration Tool.
I COLLECTED ALL YOUR FILES, ACCOUNTS, CONTACTS!
I RECORDED SOME NICE MOMENTS OF YOU FROM YOUR WEBCAM! ;D
I can publish all your files, accounts, contacts, everywhere, including the darknet.
I can send the video of you to all your contacts, post it on social networks and everywhere else.
To stop me, pay 850$ in Bitcoin (BTC).
It's easy to buy Bitcoin (BTC), for example here: http://exbase.io , https://paxful.om/buy-bitcoin , or google another exchanger.
My Bitcoin (BTC) wallet is: 1BShqbhXkBp22SQpjnS1EMNzrGzVbmEoU8 1D9BSWQcbn9Pwqqvd2iWatWGRJH7B48Ygz

Cześć! Niestety, mam dla Ciebie złe wiadomości.
Parę miesięcy temu zdobyłem dostęp do urządzenia, którego używasz do przeglądania internet.
Od tego czasu monitorowałem Twoją aktywność internetową.
Jako regularny odwiedzający stron dla dorosłych, mogę potwierdzić, że ty jesteś za to odpowiedzialny.
Mówiąc wprost, strony, które odwiedzasz, dały mi dostęp do Twoich danych.
Załadowałem Trojana w bazę Twoich driverów, który uaktualnia swoją sygnaturę parę razy dziennie, co sprawia, że antywirus nie jest w stanie go wykryć.
Na dodatek daje mi on dostęp do Twojej kamery i mikrofonu.
Co więcej, zapisałem wszystkie dane, w tym zdjęcia, media społecznościowe, czaty i kontakty.
Ostatnio wpadłem na zajebisty pomysł stworzenia filmu, gdzie dochodzisz w jednej części ekranu, gdy w drugiej jednocześnie odtwarza się film, który oglądałeś.
To było śmieszne! Bądź spokojny, że z łatwością mogę wysłać ten film do wszystkich Twoich kontaktów paroma klikami, zakładam, że wolałbyś uniknąć takiego scenariusza.
Mając to na uwadze, taka jest moja propozycja: Prześlij równowartość 850 EUR na mój portfel Bitcoin, a zapomnę o całej sprawie.
Usunę również wszystkie dane i filmy na zawsze.
Według mnie to dość umiarkowana cena za moją pracę. Możesz zorientować się, jak kupić Bitcoiny za pomocą wyszukiwarek Google, czy Bing, sam zobaczysz, że nie jest to aż tak trudne.
Mój portfel Bitcoin (BTC): 1HtAVTagjp7dMCrfJiPws3fuTHBsy4fKRu

Hey, your computer was infected with my private malware, RAT (Remote Administration Tool), your browser wasn't updated, in such case it's enough to visit some website with my iframe to get automatically infected, if you want to find out more, Google: Drive-by Exploit.
That's why I know your password at the time of infection was:
My malware gave me full access to all your accounts (see password above), contacts, full control over your computer and it also was possible to spy on you over your webcam.
I collected all your private data and I RECORDED YOU (through your webcam) SATISFYING YOURSELF!
I give you 5 days time to pay.
After that I removed my malware to not leave any traces, this email was sent from some hacked server.
I can publish the video of you and all your private data on the whole web, social networks, send to your contacts and friends.
But you can stop me and only I can help you out in this situation.
Pay exactly 800$ in Monero (XMR).
It's a very good offer, compared to all that horrible shit that will happen if I publish everything.
It's easy to buy Monero (XMR), for example here: www.binance.com , www.anycoindirect.eu , or Google another exchanger.
My Monero (XMR) wallet is: 4AVn2xpjY1kgj8cLfdjBwuVPEm9Tj3b5nbwizPZtDcAQT69iuPkfrdtFvNNVJMLSUYfwM2XC39BV44mTepCaTzY5NLFyGAk 46W6FCLjVTNJcaRU4nV5WRUpU1Dys3JAnCGh2TWj6SewUBrV1QKF2xtL5o3ALiJ51j9WsMoDyohQbAJtap9qefVHG37rzyz


【VNCサーバー ポートスキャン パスワード】
a aaa 0 000 1 111 1111 11111 111111 1111111 123 1234 12345 123456 1234567 12345678 123123 87654321 7654321 654321 54321 4321 321 password Password PASSWORD passwd pass pass123 admin admin1 admin123 iloveyou abc abcde abcabc asd asdf abc123 server Server SERVER srv vnc VNC vnc123 qwerty 1q2w3e computer user User USER user123 testuser test test1 testtest test123 testing internet info term terminal private data work secure changme boss desktop desk auth login temp windows pos POS help desk owner comp office pc pc123 manager web guest www public master lan setup letmein sysadmin monitor system sys operator job home shadow work123 business pw123 a1b2c3


【Phorpiex C&Cサーバー】
193.32.161.69
193.32.161.77
193.32.161.73
185.176.27.132
87.120.37.235
92.63.197.225
92.63.197.190
92.63.197.153
92.63.197.60
92.63.197.59
92.63.197.38
92.63.197.48
94.156.133.65
95.81.1.43
93.126.60.109
88.218.16.27
88.218.16.42
217.8.117.63
217.8.117.10
217.8.117.43
217.8.117.13
45.182.189.251
185.215.113.10
194.147.142.11
185.215.113.8
185.215.113.74
185.215.113.93
185.215.113.66
185.215.113.84
trik.ws
worm.ws worm.top
tsrv1.ws tsrv2.top tsrv3.ru tsrv4.ws tsrv5.top
tldrnet.top tldrbox.top tldrbox.ws tldrhaus.top tldrzone.top
thaus.top thaus.ws thaus.to
gimmefile.top feedmefile.top gotsomefile.top
7fv5nq57k4qvbrpt.onion
Your computer is infected!!! Install AntiVirus Software!!!
R.I.P Trik

タグ：パソコン

<危険>スクリーンセーバーscrは100％ウイルス感染3つの手口まとめ

スクリーンセーバーとは焼付き防止からサイバー攻撃へ？

スクリーンセーバーを使うウイルス感染攻撃に注意

スクリーンセーバー scr のウイルス対策

関連するブログ記事

<解決>エクスプロイトキットとは対策2つウイルス感染防ぐ効果2022

ウイルス強制感染!!! わかりやすくエクスプロイトキットとは？

エクスプロイトキットの攻撃経路はネットサーフィン中

無料！エクスプロイトキットに効果的なウイルス対策 2 つ

（参考）エクスプロイトキットの種類とウイルス検出名

関連するブログ記事

<感染>顔文字ウイルスメール対策3つとPhorpiexボットネット

Eメールの添付ファイルは？スクリプトファイルが危険

ランサムウェア、ネットバンキングウイルスなどに感染する

無料ウイルス対策！ 100％感染被害を防げる方法

ウイルス感染バックヤードに Phorpiex ボットネット

関連するブログ記事

スクリーンセーバーとは焼付き防止からサイバー攻撃へ？

スクリーンセーバーを使うウイルス感染攻撃に注意

スクリーンセーバー scr のウイルス対策

関連するブログ記事

ウイルス強制感染!!! わかりやすくエクスプロイトキットとは？

エクスプロイトキットの攻撃経路はネットサーフィン中

無料！ エクスプロイトキットに効果的なウイルス対策 2 つ

（参考） エクスプロイトキットの種類とウイルス検出名

関連するブログ記事

Eメールの添付ファイルは？ スクリプトファイルが危険

ランサムウェア、ネットバンキングウイルスなどに感染する

無料ウイルス対策！ 100％感染被害を防げる方法

ウイルス感染バックヤードに Phorpiex ボットネット

関連するブログ記事

無料！エクスプロイトキットに効果的なウイルス対策 2 つ

（参考）エクスプロイトキットの種類とウイルス検出名

Eメールの添付ファイルは？スクリプトファイルが危険