無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

タグ:パソコン

初回投稿 2014年12月24日

<危険>スクリーンセーバーscrは100%ウイルス感染3つの手口まとめ

Windowsスクリーンセーバー実行ファイル(拡張子.scr)でウイルス、マルウェア、トロイの木馬、スパイウェア感染危険YouTubu動画配信者、NFTアーティスト、P2Eゲーム偽装の「やり取り型サイバー攻撃。

Windows パソコンで スクリーンセーバー の実行ファイルに付けられる拡張子が 「.scr」 です。

イメージ 2
「スクリーン セーバー」 の実行ファイル例

拡張子 「.scr」 の由来は英単語です。

screen saver
× screen shot (スクリーン・ショット)
× screen capture (スクリーン・キャプチャ)
× script (スクリプト)

スクリーンセーバーとは焼付き防止からサイバー攻撃へ?

スクリーンセーバーの一般的な動作は、キーボードやマウスが一定時間使われていないタイミングに合わせて Windows パソコンのモニター画面に装飾的な模様の動くアニメーションや時計 (日時) を表示する役目でしょう。

Screen Saver スクリーンセーバー 設定ウィンドウ Windows 10/11
Windows スクリーンセーバーの設定ウィンドウ

ただ、パソコンの液晶モニターはエコや節電の面から電源 OFF にする方がよく、スクリーンセーバーの需要は以前より減っていると思われます。

スクリーンセーバーの使用目的
大昔 石器時代 ~ 2000 年代
ブラウン管 CRT ディスプレイモニターの焼き付き防止
現代 液晶モニターに焼き付き現象は存在せず
・ 「お飾り」 や 「お遊び」 の自己満足プログラム
・ パソコンから離席した時のパスワードロック
サイバー攻撃の投入される危険物


スクリーンセーバーは実行ファイルと同等

Windows 上で動作するスクリーンセーバー (拡張子 .scr) を内部データ的に見た場合、Windows 向け実行ファイル (拡張子 .exe) と同等のファイル形式です。 <違いはない

.scr = .exe

つまり、使用する目的が Windows のスクリーンセーバー であると明示されていないのに、拡張子 「.scr」 を持った未知のファイルは、100% 間違いなく危険なマルウェア (コンピュータウイルス) と判断して問題ないです。


Mac やスマホでは動作せず影響なし

ちなみに、スクリーンセーバー (拡張子 .scr) の動作環境は Windows パソコンに限定されるので、それ以外の環境では ファイルを開くことができずプログラムとして動作しません

Windows XP/Vista/7/8/10/11
× mac OS
× Android OS
× iOS (iPhone / iPad)

スクリーンセーバーを使うウイルス感染攻撃に注意

スクリーンセーバー (拡張子 .scr) のファイルをダブルクリックして開く行為は、実行ファイル (拡張子 .exe) をダブルクリックして開く行為に等しいです。

不自然な配布経路でスクリーンセーバーを掴ませるウイルス感染攻撃の手口 3 パターンを挙げます。


【1】 チートツールや有償製品のクラックを装う

キャラクターを強くして対戦型オンラインゲームを有利にする 「チートツール」、本来は購入しないといけない有償製品を 「クラック」 して無料ダウンロード、といった魅力ある名目で無警戒なユーザーたちを おびき寄せます。

たとえば、YouTube 動画 からオンライン・ストレージに投稿されているマルウェアをダウンロードさせるサイバー攻撃が確認されています。

【マルウェア置き場として悪用される正規サービス URL】
cdn.discordapp.com
drive.google.com
dropbox.com
github.com
raw.githubusercontent.com
mediafire.com
mega.nz
onedrive.live.com
sendspace.com
https://fireflyframer.blog.jp/19063702.html


【2】 文書・画像・動画を装いスクリーンセーバーを開くよう誘う

詐欺師がターゲット 1 人に明確に狙いを定めて実行されるサイバー攻撃が確認されています。

「やり取り型」 サイバー攻撃
海外企業に所属する関係者を名乗った詐欺師が、Eメール、Twitter や Instagram のダイレクトメッセージ DM を介してターゲットに連絡を寄越す。仕事の依頼や提案に応じた 1 人がウイルス感染の餌食になる。

ウイルス感染後の被害例
・ ブラウザやソフトウェアに保存されている認証情報を盗まれる
  └ パスワード、クレジットカード情報、認証 Cookie
・ 保有する仮想通貨が見知らぬアドレスに送金されて盗まれる
ゲーマーに成りすました詐欺師が、Steam クライアントのチャットや Discord クライアントのダイレクトメッセージ DM を使ってターゲットに接触を試みる。興味本位で応答した 1 人がウイルス感染の餌食になる。

ウイルス感染後の被害例
・ オンラインゲームのアカウントハック被害が発生する
・ 勝手にゲームをプレイされる、勝手にゲームを購入される、ゲーム内アイテムを強奪される
・ 乗っ取られた Discord アカウントを悪用してフレンド全員にスパムメッセージを送信する

ターゲットの属性に応じて、手を変え品を変えのサイバー攻撃が展開されるので一例を紹介します。

YouTube 動画配信者 YouTuber
YouTube に動画を投稿するユーザーに照準を合わせたサイバー攻撃。
著名 YouTuber のチャンネルが乗っ取られるキッカケになっている。
YouTube チャンネルが乗っ取られたらどうなる?

詐欺師が 「あなたの運営する YouTube チャンネルは素晴らしい」 とヨイショして、自社開発のソフトウェアの動作レビューや PR を依頼したり、企業案件でコラボ動画を制作しないか提案してくる。
ダウンロードや確認を促される 「ソフトウェア」 「契約書」 を開いたところ、実際にはウイルスのファイルを起動していて感染してしまう。
イラストレーター、NFT デジタルアーティスト
ネット上で活動する絵師に照準を合わせたサイバー攻撃。
NFT アートやイラスト制作依頼でウイルス感染

詐欺師が 「あなたの作品は素晴らしい」 「あなたの絵に惚れた」 とヨイショして、仮想通貨や米ドルで報酬を支払うことに触れつつ、自分のために絵を描いてほしいと依頼したり、開発中というゲームのデザインの仕事やイラストの制作を持ち込む。
ダウンロードや確認を促される 「イラスト」 「資料」 「契約書」 を開いたところ、実際にはウイルスのファイルを起動していて感染してしまう。
ゲーマー
新しいモノに飛びつきやすく、様々なアカウントを保有するゲーマーに照準を合わせたサイバー攻撃。
ゲームのテストプレイ依頼でウイルス感染

詐欺師は 「開発中の P2E ゲームのテストプレイをして欲しい」 「有料サービスが無料になる特別な方法を教える」 「ゲーム内アイテムをタダであげる」 といったゲーマーの心をくすぐる魅力的な提案を持ち込む。
起動するよう促される 「ゲームのプログラム」 を開いたところ、実際にはウイルスのファイルを起動していて感染してしまう。

善人を装った詐欺師と複数回の 「やり取り」 を経て信用を得た後、様々な名目でファイルの開いて確認するよう誘惑します。

  • 偽の文書
    ファイルの名目 「契約書」 「企画書」 「著作権侵害の調査資料」
    (拡張子 .doc.scr / .docx.scr / .pdf.scr)

  • 偽の画像や動画
    ファイルの名目 「資料」 「ゲーム画面」 「写真」 「イラスト」 「作品の見本例」
    (拡張子 .jpg.scr / .jpeg.scr / .png.scr / .psd.scr / .mp4.scr)

  • 偽のプログラム
    ファイルの名目 「ゲームのベータ版」 「開発中の自作ゲーム」
    (拡張子 .exe)


【3】 Eメールでスクリーンセーバーを配布する

迷惑メール (スパムメール) の添付ファイルとしてスクリーンセーバーを受信する、あるいはEメール本文に記載された URL リンクからスクリーンセーバーをダウンロードさせます。

Windows エクスプローラでファイルの種類がスクリーンセーバーのマルウェア.exe
エクセルファイル? ワード文書? ファックスのデータ?
→ アイコンで騙す不正なスクリーンセーバー

スクリーンセーバー添付の不審メール例
金銭の 支払い請求書 (invoice、インボイス) を装う
運送会社を名乗って 荷物の配達通知 を装う


パスワード付き圧縮ファイルが危険!

上のようなサイバー攻撃で、ダウンロードさせようとするファイルの形式が パスワード付きの圧縮ファイル だと厄介です。

~ パスワードを付けることが可能な圧縮ファイル ~
拡張子 「.zip」 「.rar」 「.7z」

この場合、圧縮ファイル内にコンピュータウイルス (マルウェア) が含まれていたとしても、パスワードで保護 (暗号化) されている影響から 様々なセキュリティ保護機能を回避されてしまう 危険性があります。

受け取ったファイルをセキュリティソフトでウイルススキャンしても、診断結果は 「無害」 と判定するので何ら警告もされず、それを見たユーザーは安全なファイルと入手した確信してしまい、呆気なく詐欺師の罠に足元をすくわれます。


スクリーンセーバー scr のウイルス対策

攻撃者が Windows ユーザーを狙ってスクリーンセーバー (拡張子 .scr) を採用する理由は…?

  1. ダブルクリックでウイルス感染
    実行ファイルと同じようにユーザーが開く行為でプログラムが即起動する

  2. アイコン画像で見た目の偽装
    表示されるアイコン画像を指定できるので、文書・画像・動画っぽく偽装できる

  3. スクリーンセーバーの認知度が低い?
    拡張子 .exe と比べて需要が減った影響からかスクリーンセーバーに対する警戒心が薄い

対応が後手に回ることもあるセキュリティソフトにすべてを託さないで、スクリーンセーバーの拡張子 「.scr」 に注意を払って自分の身は自分で護る ことが重要です。


[scr ファイル 開く] [scr ファイル 作成] [scr ファイル 意味] [scr ファイル 再生] [doc.scr ウイルス] [docx.scr ウイルス] [psd.scr ウイルス] [pdf.scr ウイルス] [mp4.scr ウイルス] [scr 拡張子 ウイルス] [scr 拡張子 開く] …

関連するブログ記事

このエントリーをはてなブックマークに追加

初回投稿 2014年4月5日

<解決>エクスプロイトキットとは対策2つウイルス感染防ぐ効果2022

次のセキュリティ用語を見かけたけれど、いったい何者でしょうか?

エクスプロイトキット
(英語 Exploit Kit)

わかりやすくエクスプロイトキットとは、自宅や企業などで使われている Windows XP/Vista/7/8/10/11 パソコンを攻撃する場面で採用される 悪意のある不正な Web アプリケーション のことです。

エクスプロイトキット関連の影響環境
Windows コンピュータウイルスの感染攻撃を仕掛ける主戦場
Mac OS X だいぶ前に Mac 向けのバックドア Flashback のウイルス感染例あり
(「Java for Mac」 の脆弱性を悪用)
Android OS だいぶ前にスマホ/タブレット/スマートTVの画面をロックするランサムウェア感染例あり
(「Android 標準ブラウザ」 の脆弱性を悪用)

エクスプロイトキットの目的は、ターゲットとなる端末に コンピュータウイルス (マルウェア) を ”強制的” にダウンロードさせて感染 させることです。

エクスプロイトキットの攻撃経路はネットサーフィン中

Web アプリケーションであるエクスプロイトキットに出会うタイミングは 2 パターンあります。

  1. Web 広告のサーバーから不正なコンテンツが配信される
    国内外の一般サイトで目にする Web 広告を介して攻撃処理が流れてくる
    → 広告配信システムを悪用する 「マルバタイジング」 と呼ばれる攻撃

  2. 改ざん被害を喰らってる Web サイトを運悪く閲覧する
    企業や個人が管理する国内外の Web サイトが第三者にハッキングされている

【マルバタイジングとは?】
マルバタイジング 「malvertising」 は、「malware」 + 「advertising」 に由来する造語

Q. 広告のバナーやリンクをユーザーがポチッとクリックしなければ危険性なし?
いいえ。様々な広告コンテンツを ”表示” するブラウザの内部処理だけで攻撃を喰らうリスクがあります。

Q. コンテンツブロッカー機能を持つブラウザ拡張機能は有効?
広告コンテンツの表示を抑制する拡張機能によって、広告配信サーバーから流れてくるエクスプロイトキットの遭遇率を下げる効果は十分にあります。ただ、正規の Web サイトそのものがハッキングされるシチュエーションでは効果が期待できません。

エクスプロイトキットに遭遇するのはブラウザでてネットサーフィン中というのが基本なので、次のような作業で出会うことはありません。

  • 善人を装う詐欺師から DM で受け取ったファイルをダブルクリックして開く

  • メールソフトや Web メール上で受信したEメールの本文を読む

  • Eメールの添付ファイルをダブルクリックして開く

  • パソコンの USB ポートに USB フラッシュメモリを接続する

ただ。、エクスプロイトキットはユーザーの目視で明らかに異常に気づける脅威でもなく、Windows ユーザーさんに対して次のウイルス対策を提案するのは 無謀 です。

× 注意を払ってエクスプロイトキットの攻撃をササッとよける
× ブラウザで怪しい海外サイトやエッチなサイトを閲覧しない

無料! エクスプロイトキットに効果的なウイルス対策 2 つ

エクスプロイトキットを採用してウイルス感染攻撃が成功するか失敗するか?

その成否は PC にセキュリティ上の欠陥 (脆弱性 : ぜいじゃくせい) が存在し、それを上手く悪用できるかどうか次第です。

ところが、脆弱性は無料で提供されている最新バージョンで修正済み なので、ブラウザの脆弱性を解消してエクスプロイトキットを無に帰すウイルス対策が重要です。

ウイルス対策に最新の Windows ブラウザを使う】
Microsoft Edge (Chromium ベース)
Google Chrome
Mozilla Firefox

一方、サポート終了済みで旧式のブラウザやプラグインは、エクスプロイトキットの影響を受けやすく使用禁止です。

ウイルス対策に旧 Windows ブラウザを使用しない】
Internet Explorer … 2022年6月にマイクロソフトのサポート終了
Microsoft Edge 従来版 … 2021年3月にマイクロソフトのサポート終了

【Internet Explorer 向けの旧プラグインも使用しない】
Adobe Flash Player … 2020年12月に Adobe のサポート終了
Adobe Reader
Adobe Shockwave Player
… 2019年4月に Adobe のサポート終了
Oracle Java (JRE)
Microsoft Silverlight
… 2021年10月にマイクロソフトのサポート終了

Microsoft Defender を代表的に、Windows 10 や Windows 11 には何かしらセキュリティソフトがインストール済みだけど、その導入の効果に 脆弱性そのものは解消しない ところがポイントです。

エクスプロイトキットの対策?
セキュリティ製品の購入を提案するだけの 「広告」 ページに注意


エクスプロイトキットのウイルス対策は無料♪

Windows 10 や Windows 11 でエクスプロイトキットの脅威に 100% 対抗する効果的な 無料ウイルス対策 2 つ がこれ!

  1. 毎月の定例更新 Windows Update は実施できていますか?
    https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx

  2. インストールしてあるブラウザは最新版に更新できていますか?
    「Microsoft Edge」 「Google Chrome」 「Mozilla Firefox」

マイクロソフトのサポートが終了した Windows XPWindows VistaWindows 7Windows 8、大昔にもてはやされて狙われやすいブラウザ Internet Explorer は、攻撃に悪用されうる脆弱性の修正がもう行われません。

これは脆弱性が新たに発見されていく時間の経過に伴って使用するリスクが上昇していき、すでに危険レベルが振り切れているから、「危険! 使用しないで!」 という呼びかけになっています。

(参考) エクスプロイトキットの種類とウイルス検出名

エクスプロイトキットは 1 つだけではなく、複数のブランドが存在します。

特にロシア語圏の攻撃者グループが、マルウェア (コンピュータウイルス) を拡散させたいサイバー犯罪者を相手にエクスプロイトキットを使用する権利を貸し出すサービスを提供しているみたいです。

Internet Explorer (CVE-2016-0189 CVE-2018-8174) / Microsoft Edge (VE-2016-7200) / Flash Player (CVE-2015-3105 CVE-2015-5119 CVE-2018-4878) / Java (CVE-2011-3544 CVE-2012-4681 CVE-2013-0422)
〔2018年〕 エクスプロイトキットで悪用される脆弱性
(出典 Malwarebytes

RigEK Silverlight (CVE-2016-0034) / Neutrino Flash (CVE-2016-4117 CVE-2016-1019) / Angler Flash (CVE-2016-4117 CVE-2016-1001) Silverlight (CVE-2016-1034) / Sundown Silverlight (CVE-2016-0034) / Nuclear Flash (CVE-2016-1019) / Magnitude Flash (CVE-2016-4117 CVE-2016-1019)
〔2016年〕 エクスプロイトキットで悪用される脆弱性
(出典 Trend Micro


〔2015年〕 エクスプロイトキットで悪用される脆弱性
(出典 Malwarebytes

ネットサーフィン中にエクスプロイトキットが仕掛けられた不正なページが読み込まれると、「実行ファイルをダウンロードして保存していいか?」 とか 「ダウンロードされた実行ファイルを起動してもいいか?」 といった確認の場面が一切なく、コンピュータウイルス (マルウェア) の感染が実現しうることになります。

  • エクスプロイトキットを介してマルウェアに強制感染する
    UrsnifRamnit、Dridex、AZORult、Smoke Loader、Phorpiex、Fareit、RedLine など

  • エクスプロイトキットを介してランサムウェアに強制感染する
    GandCrabLocky、Mole Ransomware、CerberSodinokibi など

ユーザーは実被害が発生して始めて異変に気づくかもしれないし、あるいは感染した事実にすら気づけない恐れもあります。


現役の 「RIG Exploit Kit」 で悪用される脆弱性

2022 年においても攻撃が観測されているというエクスプロイトキットの 1 つ 「RIG Exploit Kit」 (RIG EK) は、ブラウザの 「Internet Explorer」 「Microsoft Edge 従来版」、アドオンの 「Adobe Flash Player」 の脆弱性を悪用します。

【エクスプロイトキット 「RIG Exploit Kit」 で悪用される脆弱性】

CVE-2021-26411
「Microsoft Internet Explorer 9、11、Microsoft Edge には、メモリ破損の脆弱性が存在します。」

CVE-2020-0674 「Microsoft が提供する Internet Explorer の JScript スクリプトエンジンには、メモリ破損の脆弱性が存在します。」

CVE-2019-0752 「Internet Explorer 10 および 11 には、スクリプトエンジンが Internet Explorer のメモリ内のオブジェクトを処理する方法に不備があるため、リモートでコードを実行される脆弱性が存在します。」

CVE-2018-8174 「複数の Microsoft Windows 製品には、VBScript エンジンのメモリ内のオブジェクト処理に不備があるため、リモートでコードを実行される脆弱性が存在します。」

CVE-2016-0189 「Internet Explorer 9 から 11 およびその他の製品で使用される Microsoft (1) JScript および (2) VBScript エンジンには、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。」

CVE-2015-2419 「Microsoft Internet Explorer 10 および 11 の JScript 9 には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。」

CVE-2015-0313 「Adobe Flash Player には、ヒープベースのバッファオーバーフローの脆弱性が存在します。」 「Windows 版と Macintosh 版の Adobe Flash Player 16.0.0.296 以前のバージョンに重大な脆弱性 (CVE-2015-0313) が存在します。 この脆弱性に付け込まれた場合、クラッシュを引き起こしたり、場合によっては対象システムが攻撃者に乗っ取られたりするおそれがあります。」

CVE-2014-6332 「複数の Microsoft 製品の OLE には、任意のコードを実行される脆弱性が存在します。」

CVE-2013-2551 「Microsoft Internet Explorer 6 から 10 は、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。」

https://www.prodaft.com/resource/detail/rig-rig-exploit-kit-depth-analysis
【エクスプロイトキット 「Spelevo Exploit Kit」 で悪用される脆弱性】

CVE-2018-8174 「複数の Microsoft Windows 製品には、VBScript エンジンのメモリ内のオブジェクト処理に不備があるため、リモートでコードを実行される脆弱性が存在します。」

CVE-2018-15982 「Adobe が提供する Flash Player および Flash Player Installer には、次の脆弱性が存在します。Adobe Flash Player に解放済みメモリの使用 (Use-after-free) (CWE-416) - CVE-2018-15982」 「Windows 版、macOS 版、Linux 版、および Chrome OS 版の Adobe Flash Player を対象としたセキュリティアップデートが公開されました。これらのアップデートは、Adobe Flash Player におけるクリティカルな脆弱性と、Adobe Flash Player における重要の脆弱性に対処します。この脆弱性が悪用されると、現在のユーザーのコンテキストでの任意のコード実行や権限昇格の原因になりかねません。」

https://blog.talosintelligence.com/spelevo-exploit-kit/

脆弱性の ID 番号は 「CVE-[報告された西暦]-****」 になっているので、エクスプロイトキットで悪用される脆弱性に対処する無料ウイルス対策 ができている Windows 10 や Windows 11 ならば影響なしです。

サポート切れの Windows は危険という理由
2021年4月 CVE-2021-26411 に対処するセキュリティ更新プログラムを配信
2020年2月 CVE-2020-0674 に対処するセキュリティ更新プログラムを配信
(サポート終了済みだった Windows 7 にも特別に配信された)
2020年1月17日 マイクロソフトが未修正の脆弱性 CVE-2020-0674 を報告
2020年1月14日 マイクロソフトによる Windows 7 のサポート終了
2017年4月 マイクロソフトによる Windows Vista のサポート終了
2014年4月 マイクロソフトによる Windows XP のサポート終了


エクスプロイトキットの攻撃は意外と身近!?

エクスプロイトキット 「RIG Exploit Kit」 (RIG EK) を使ってネットバンキング不正送金被害に繋がるコンピュータウイルス (マルウェア) を感染させるサイバー攻撃が確認され、ここに日本の複数の正規サイトが意図せず加担していた おっかない事案が報告されています。

RIG-EK 改ざんサイト無害化の取組 (JC3 日本サイバー犯罪対策センター)
https://www.jc3.or.jp/threats/archive/topics/op_rigek.html

JC3 では、攻撃ツール RIG-EK を使用した不正プログラムの感染拡大を把握しており、日本の改ざんサイトの無害化に取り組んでおります。
JC3 では、不正送金事犯情報分析プロジェクト及び脅威情報活用ワーキンググループの参加企業が中心となり、全国の RIG-EK 改ざんサイトに関する情報を収集してきました。これらの改ざんされたウェブサイトを閲覧したユーザは、不正プログラムに感染してインターネットバンキングの不正送金などの犯罪の被害にあうおそれがあります。
ウイルス感染を目的としたウェブサイト改ざんの対策について (警察庁)
https://www.npa.go.jp/cyber/policy/pdf/rig.pdf

一般財団法人日本サイバー犯罪対策センター (JC3) と連携した分析により、平成28年9月頃から、「RIG-EK」 と呼ばれる攻撃ツールが組み込まれたサイトに誘導するよう改ざんされたウェブサイトが急増していることが確認された。
国内の改ざんされたサイトの管理者が判明した 298 サイトについて、38 都道府県警察において、当該サイト管理者等に対して、改ざん状況の確認、サイトの修復の依頼等の対策を実施。


エクスプロイトキットのウイルス検出名

マイクロソフトのセキュリティソフト Windows Defender が定義するエクスプロイトキットのウイルス検出名です。

Nuclear Pack
Exploit:JS/Neclu Exploit:HTML/Neclu Exploit:SWF/Neclu

・ Angler Exploit Kit
Exploit:JS/Axpergle Exploit:HTML/Axpergle Exploit:SWF/Axpergle

・ Nutrino Pack
Exploit:HTML/NeutrinoEK Exploit:JS/NeutrinoEK TrojanDownloader:JS/NeutrinoEK Exploit:JS/Urntone

・ FlashPack Exploit Kit
Exploit:JS/Fashack Exploit:HTML/Fashack Exploit:SWF/Fashack Exploit:Java/Fashack

・ GongDa Pack, KaiXin Exploit Kit → 珍しい中国製
Exploit:JS/DonxRef VirTool:JS/DonxRef Exploit:JS/Kaixin Exploit:HTML/Kaixin

・ Fiesta Exploit Kit
Exploit:JS/Fiexp Exploit:HTML/Fiexp Exploit:Win32/Fiexp Exploit:Java/Fiexp

・ RIG Exploit Pack, Goon/Infinity Exploit Kit
Exploit:JS/Meadgive Exploit:HTML/Meadgive Exploit:SWF/Meadgive TrojanDownloader:HTML/Meadgive Exploit:Java/Meadgive TrojanDownloader:VBS/Meadgive Exploit:JS/Rigploit

・ Magnitude Exploit Kit
Exploit:HTML/Pangimop Trojan:JS/Pangimop Behavior:Win32/Pangimop

・ Stegano Exploit Kit, Astrum
Exploit:HTML/SteganoEK

・ Sundown Exploit Kit
Exploit:HTML/SundownEK Exploit:JS/SundownEK

・ Sweet Orange Exploit Kit
Exploit:JS/Anogre Exploit:Java/Anogre Exploit:SWF/Anogre Exploit:Win32/Anogre Exploit:Win64/Anogre TrojanDownloader:Win32/Anogre

・ Blackhole Exploit Kit, Cool Exploit Kit → 開発者とされるロシア人が摘発された
Exploit:JS/Blacole Exploit:Java/Blacole Exploit:SWF/Blacole Trojan:JS/BlacoleRef Trojan:HTML/BlacoleRef Exploit:JS/Coolex Exploit:JS/Aimesu Exploit:JS/Blacole.GB

・ その他
Exploit:HTML/Wecalo Exploit:HTML/Tunec

エクスプロイトキットが仕掛けられた不正なページの <JavaScript> タグ、あるいは <iframe> タグのウイルス検出名です。

Exploit:HTML/IframeRef
Exploit:HTML/IframeRef.gen
Exploit:HTML/IFrame
Trojan:JS/IframeRef
Trojan:JS/Redirector
Trojan:JS/Quidvetis
Trojan:JS/Seedabutor
Trojan:HTML/Redirector

これらのウイルス検出名をキーワードに Google や Yahoo! で調べると、評価の低いシステムメンテナンスソフト SpyHunter 5Wiper SoftReimage Repair をダウンロードするよう誘う 偽セキュリティ情報サイト (詐欺サイト) がヒットします。

関連するブログ記事

このエントリーをはてなブックマークに追加

初回投稿 2016年6月18日

<感染>顔文字ウイルスメール対策3つとPhorpiexボットネット

Windows攻撃ターゲットでトロイの木馬・ワームPhorpiexボットネットによる不審な迷惑メール送信手口。スクリプトファイルや実行ファイルでランサムウェア感染、ビットコイン脅迫セクストーションメール、仮想通貨Moneroクリプトマイニング被害。

迷惑メール(スパムメール) を不特定多数にバラ撒いて、ウイルス感染させる攻撃の実例です。

メールの送信者として、ドコの誰とも分からん外国人の女性名が記載されてある Eメール で、そのメールに添付されたファイルを確認するよう誘惑する手口です。

【迷惑メール件名例 - Phorpiex スパムボット】
Always thinking about you
Are you ashamed??
Check out my photo from instagram
Do you know her?
Do you know him?
Do you know them?
Do you know this person?
Do you like it?
Do you like my photo?
Do you think I can share this picture?
Don't show anyone!
Felt in love with you!
Good enough for facebook?
I hope my photo is good enough
I hope my picture is good enough
I like this photo
I love this photo
I love you
Is my photo good enough?
Is this you?
Is this your photo?
Just for you!
Keep it private!
Keep this photo private
Keep this picture secret
Keep this picture to yourself
Keep this private
Look at this photo!
Love
Love you
My favourite photo
My friends told my pic isn't good enough
My letter just for you
My love letter for you
My new photo
My photo
My photo for you
New photo for you
Our photo
Photo de vous???
Photo just for you
Photo of last party
Photo of the day
Photo of us
Photo of you???
Picture for you
Picture of you??
Please rate my photo
Please read and reply
Rate my new photo please!
Rate my picture
Really your picture?
Seen this photo?
Should I upload this pic on instagram?
Should I upload this picture on facebook?
Someone showed me your picture
Take a look at my new picture please
Take a look please
Tell me what you think of this picture
This is my love letter to you
This is the funniest picture ever!
What do you think of my new hair?
What you think of my new hair color?
What you think of this picture?
Whats wrong with this photo?
Why you look so ugly here?
Wrote my thoughts down about you
Wrote the fantasy about us down
Wrote this letter for you
You'd Be Surprised
You are my love!
You got caught!
You like this photo?
You look good here
You look so beautiful on this picture
You look so ugly here
You really should see this
You should take a look at this picture
You will be shocked!
Your new photo?
Your opinion needed!
Your photo
Your photo isn't really that great

英語メールの件名の一部を日本語にチョイと翻訳しておくと、次のような意味になります。 

  • 「この人、知ってる?」
  • 「これはあなた?」
  • 「私の新しい髪型どう?」
  • 「私の新しい髪の色どう?」
  • 「この写真、超キレイ」
  • 「この写真の感想を教えて」
  • 「この写真を Facebook にアップしていい?」
  • 「この写真を Instagram にアップしていい?」
  • 「あなたへのラブレターです」
  • 「あなたのことをいつも考えてます」
  • 「あなたと恋に落ちました」
  • 「あなたが好きです」
  • 「あなたの意見が欲しい」
  • 「私の新しい写真を評価してくれない?」
  • 「誰にも見せないで!」

また、2019年~に確認されたEメールとして、件名に 「欧米圏で使われている顔文字の記号」 「日本の有名芸能人のアルファベット表記」 が使われました。

【迷惑メール件名例 - Phorpiex スパムボット】
 :) ;) :D :* 8) 8-) :-) :-D ;-)
 :) ;) :* :D ;D ;* :-) ;-) :-*
 :) ;) :* :-) ;-) :-* :D :-D 8-) 8-D
【迷惑メール件名例 - Phorpiex スパムボット】
Yui Aragaki ;) Aya Ueto ;) Yuriko Yoshitaka ;) Erika Toda ;) Maki Horikita ;) Erika Sawajiri ;) Kyoko Fukada ;) Nozomi Sasaki ;) Hikaru Utada ;) Namie Amuro ;) Kyary Pamyu Pamyu ;) Ayumi Hamasaki ;) Sheena Ringo ;) Misia ;)
Ai Hashimoto! Ai Otsuka! Aikawa! Airi Matsui! Akina Nakamori! Alice Hirose! Angela Aki! Aoi Miyazaki! Aya Ueto! Ayaka! Ayame Goriki! Ayumi Hamasaki! Ayumi! Chara! Chihiro Onitsuka! Crystal Kay! Eir Aoi! Emi Hinouchi! Emi Takei! Erika Sawajiri! Erika Toda! Hamasaki! Haruka Ayase! Haruma Miura! Haruna Kawaguchi! Haruna Kojima! Hayashibara! Hibari Misora! Hikaru Utada! Hiroshi Abe! Hiroyuki Sanada! Honoka Miki! Izumi Sakai! Jin Akanishi! Kaela Kimura! Kana Nishino! Kanata Hongo! Kanna Hashimoto! Kasumi Arimura! Kazunari Ninomiya! Keiko Fuji! Keiko Kitagawa! Ken Watanabe! Kento Yamazaki! Kiko Mizuhara! Koichi Domoto! Kumi Koda! Kyary Pamyu! Kyoko Fukada! Maaya Sakamoto! Mai Kuraki! Maki Goto! Maki Horikita! Maki Ohguro! Mao Inoue! Mariya Nishiuchi! Masahiro Nakai! Megumi Hayashibara! Megumi Yamano! Meisa Kuroki! Mika Nakashima! Mikako Tabe! Miki Imai! Miliyah Kato! Minako Honda! Minori Chihara! Mirei Kiritani! Miyuki Nakajima! Mizuki Yamamoto! Momoe Yamaguchi! Namie Amuro! Nana Komatsu! Nana Mizuki! Nanako Matsushima! Nanase Aikawa! Norika Fujiwara! Nozomi Sasaki! Olivia Lufkin! Pamyu! Reina Triendl! Rina Aiuchi! Ringo Sheena! Rinko Kikuchi! Rosa Kato! Ryoko Hirosue! Ryuhei Matsuda! Satomi Ishihara! Satoshi Tsumabuki! Seiko Matsuda! Sho Sakurai! Shota Matsuda! Shun Oguri! Sonny Chiba! Sota Fukushi! Suzu Hirose! Tadanobu Asano! Takayuki Yamada! Takenouchi! Takeru Sato! Takeshi Kaneshiro! Takeshi Kitano! Tatsuya Fujiwara! Thelma Aoyama! Tina Tamashiro! Toma Ikuta! Tomiko Van! Tomohisa Yamashita! Tomomi Itano! Tomomi Kahara! Tsubasa Honda! Wakana Aoi! Yoko Kanno! Yoshitaka! Yu Yamada! Yui Aragaki! Yui! Yukie Nakama! Yumi Matsutoya! Yuriko Yoshitaka! Yutaka Takenouchi! Firefly

Eメールの添付ファイルは? スクリプトファイルが危険

そんな迷惑メール(スパムメール)で手元にやって来た添付ファイルの種類は具体的に何でしょ?

次のような zip 形式 の圧縮アーカイブでした。 

イメージ 1
画像? 写真?

圧縮ファイルのままでは ”武器” としての攻撃能力がサッパリ無いので、手動で展開・解凍する作業を行うと、中身はこんな感じ。

【ウイルスメール 添付ファイル例】
Photo-[数字]-[数字].jpg.zip
 ↓ 解凍・展開

Photo-[数字]-[数字].jpg.scr

vbs-phorpiex-malspam
写真・画像ではない!

【ウイルスメール 添付ファイル例】
PIC_[数字]_2020.zip
IMG[数字]_jpg.zip
 ↓ 解凍・展開

PIC_526246_2020_jpg.vbs
IMG4956432020_jpg.vbs

イメージ 2
写真・画像ではない!

イメージ 4
Love You 愛のラブレターではない!

【ウイルスメール 添付ファイル例】
IMG[数字].jpg.js.zip
IMG[数字]-JPG.zip
PIC[数字]-JPEG.zip
IMG[数字]_2018-JPG.zip
Love_You_2018_[数字].zip
Love_You_[数字]-2019-txt.zip
Love_You_2019_[数字]-txt.zip
Love_You_[数字]_2019.zip
PIC0-[数字]2019-jpg.zip
PIC[数字]2019-jpg.zip
PIC[数字]-JPG.zip
 ↓ 解凍・展開

IMG[数字].jpg.js
IMG[数字]-JPG.js
PIC[数字]-JPEG.js
IMG[数字]_2018-JPG.js
Love_You_2018_[数字].js
Love_You_[数字]-2019-txt.js
Love_You_2019_[数字]-txt.js
Love_You_[数字]_2019.js
PIC0-[数字]2019-jpg.js
PIC[数字]2019-jpg.js
PIC[数字]-JPG.js

ファイルの拡張子に注意を払うウイルス対策

まず、ファイル名の視覚的なトリックに惑わされてはいけません。

  • 「photo」 「pic」 「picture」 「IMG」 「JPG」 「JPEG」
    → 写真や画像を見るよう誘う
     jpeg 形式の画像や写真

  • 「Love You」 「txt」
    → ラブレターの文書を読むよう誘う
     テキスト文書

ただ、Windows PC 向けの 拡張子に注意を払うウイルス対策(無料) ができているならば、メールのやり取りで送受信するファイル形式として、.js .vbs ファイルは明らかに普通ではなく異常です。

イメージ 5

このような場合に、対応が後手に回ることがあるセキュリティソフトにすべてを託さず、自力で脅威を見抜けるようにしておくのは、Windows PC のセキュリティ対策としてけっこう大事です。 <”知識” で防御を

  • ファイルの拡張子
    → 「~ .js」
    → 「~.vbs」

  • ファイルの種類
    Windows スクリプトファイル
    → 「JavaScript ファイル」 「JScript Script ファイル」
    → 「VBScript Script ファイル」


スクリプトファイルの動作環境は?

スクリプトファイル .js .vbs の動作環境は Windows XP/Vista/7/8/10 だけなので、ウイルスメールの攻撃対象は特定の環境に限定されます。

macOS → 動作しないファイル形式だから影響なし
 Android スマホ
 iOS (iPhone / iPad)
 ガラケー
人体

ランサムウェア、ネットバンキングウイルスなどに感染する

Windows ユーザーさんが、不正なスクリプトファイル .js .vbs を何気なくポチポチッとダブルクリックして開いてしまうと、バババーンと攻撃処理の発動です。

Love You、Photo、顔文字、有名芸能人の名前が登場する迷惑メールの正体は、添付ファイル型の ウイルスメール となります。

 ウイルスメールを単に受信しただけ → いっさい何も起こらない
 メールソフトのプレビュー機能 → ウイルス感染の引き金にならない


メインのマルウェアを PC に送り込む

この .js .vbs ファイルの目的は?

Windows のシステムにあらかじめ用意されてる次の正規プログラムを介して外部ネットワークに接続を試みて、何かしらマルウェアの実行ファイルをダウンロードしてきて起動する処理を含んでます。

  • wscript.exe

  • powershell.exe

  • bitsadmin.exe

正規プログラムを悪用する理由は、攻撃の妨害をしてくるセキュリティソフトの検出を効果的にスルーッとスリ抜けさせるためです。

Microsoft が開発した正規のプログラム → セキュリティソフトは脅威と判定しない
Windows のシステムに最初から用意されてある → 攻撃者は気軽に悪用し放題

ダウンロードされる実行ファイルは?

ワーム、偽セキュリティソフト、ネットバンキングウイルス、ランサムウェア、仮想通貨マイニングウイルス、バックドア、スパイウェアなど、攻撃者のその時の気分次第で変動します。




無料ウイルス対策! 100%感染被害を防げる方法

怪しいメールを開くな!』 『不審なファイルを開くな!』 といった気合で乗り切る精神論は危ないです。

代わり、ウイルス感染被害を100%確実に回避できる強力な ウイルスメール対策 として、攻撃者の出鼻をボキボキボキッとくじく 不正なファイルを無害化する方法 が効果ありです。

  1. 拡張子 js vbs wsf ファイルのウイルス対策
    https://fireflyframer.blog.jp/19064102.html

  2. 拡張子 doc docm xls xlsm ファイルのマクロウイルス対策
    https://fireflyframer.blog.jp/19063931.html

  3. Windows 10 ファイアウォールの設定でウイルス対策
    https://fireflyframer.blog.jp/19064221.html

感染手口に沿う無料ウイルス対策をあらかじめ実施してある Windows ユーザーさんは、”うっかり” をいくらやっても感染攻撃は100%失敗するから最強です。 <いっさいお金もかからない

ウイルス感染バックヤードに Phorpiex ボットネット

迷惑メールがドバドバ配信される裏側がヤバい!

これはワームに分類される Phorpiex (読み方 「フォーピークス」)、開発者の呼称 「Trik」 に感染し、攻撃者が遠隔操作できる複数の Windows からメール送信が実施されています。 


Phorpiex ダウンローダー

ロシア語圏のアンダーグラウンド上で展開されていると想定されるアフィリエイトのキャンペーン (マルウェアの配信で報酬を得る) に参加して、任意の実行ファイルを攻撃者の気分次第でダウンロードさせて起動する

  • ボットネット
    「Phorpiex」

  • ランサムウェア
    「GandCrab Ransomware」
    「NEMTY 2.5 REVENGE」
    「Avaddon Rasnomware」
    「W3CRYPTO LOCKER」 (BitRansomware)

  • クリプトマイニング
    「Monero XMR Miner」

  • インフォ スティーラー
    「Raccoon Stealer」
    「Predator the Thief」

  • その他
    「Ursnif」

Phorpiex ボットネットの通信手段として、当初の IRCプロトコル → TCPプロトコルTorプロトコル が採用されている


セキュリティ製品の検出迂回


DisableScanOnRealtimeEnable
DisableOnAccessProtection
DisableBehaviorMonitoring
AntiVirusOverride
UpdatesOverride
FirewallOverride
AntiVirusDisableNotify
UpdatesDisableNotify
AutoUpdateDisableNotify
FirewallDisableNotify
DisableAntiSpyware


Phorpiex ワーム

  • USB フラッシュメモリ
    不正なショートカットファイルと自分自身のコピー 「DeviceManager.exe」 「DriveMgr.exe」 を作成する

  • 正当な PE 実行ファイルを改ざんする
    Phorpiex ボットネットをダウンロードする攻撃処理が含まれた 「.zero」 セクションを追加する

  • 圧縮アーカイブ .zip .rar ファイル 内に自分自身のコピー 「Windows Archive Manager.exe」 を追加する


Phorpiex スパムボット



Phorpiex クリプトジャッキング

  • Windows のクリップボードを監視する
    コピーされた Bitcoin などのウォレットのアドレスをコッソリ書き換えて仮想通貨を盗む

  • コインマイナーの実行ファイルを起動して仮想通貨 Monero をマイニングする


Windows サーバーへ遠隔感染

  • VNC サーバー (tcp/5900 ポート) に脆弱なパスワードで不正アクセスする
    NetBIOS (tcp/139 ポート) に脆弱なパスワードで不正アクセスする
    Phorpiex ボットネットやランサムウェアをダウンロードして遠隔感染させる

Phorpiex セキュリティソフト検出名例】
ESET Win32/Phorpiex Win32/Phorpiex.Q Win32/Phorpiex.V Win32/Phorpiex.W Win32/Phorpiex.X Win32/Phorpiex.Y Win32/Phorpiex.AB Win32/Phorpiex.AG Win32/Phorpiex.AE Win32/Phorpiex.AN Win32/AutoRun.IRCBot Win32/CoinMiner.BEX PowerShell/TrojanDownloader.Agent.DV Win32/TrojanDownloader.Agent.EQH Win64/TrojanDownloader.Agent.EB Win32/TrojanDownloader.Agent.FKA
Kaspersky Trojan-Downloader.Win32.Trik HEUR:Trojan-Dropper.Win32.Phorpiex HEUR:Trojan-Downloader.Script.Generic Trojan.Win32.Patched.rw Trojan.Win64.Patched.q
Microsoft Worm:Win32/Phorpiex Worm:Win32/Phorpiex.AF!bit Backdoor:Win32/Phorpiex Backdoor:Win32/Phorpiex.YP!bit Backdoor:Win32/Kirts.A Backdoor:Win32/Kirts!rfn Trojan:Win32/Kryptomix Worm:Win32/Phorpiex!lnk Trojan:Win32/Gandcrab.AF Worm:Win32/Phorpiex.G!MTB TrojanDownloader:PowerShell/Ploprolo.A TrojanDownloader:Win32/SmallAgent!MTB TrojanDownloader:Win32/SmallAgent!atmn Trojan:Win32/Phorpiex!MSR Trojan:Win32/Phorpiex.SM!MSR Worm:Win32/Phorpiex!MSR Trojan:Win32/Phorpiex.SBR!MSR TrojanDownloader:Win32/Phorpiex.MK!MTC TrojanDownloader:Win32/Phorpiex.C
Symantec Trojan.Wortrik Trojan.Wortrik!lnk ISB.Downloader!gen48
Trend Micro Worm.Win32.PHORPIEX WORM_PHORPIEX WORM_TRIK.A Trojan.INF.PHORPIEX.AVL Mal_OtorunG Worm.LNK.PHORPIEX Trojan.Win64.SMALL.SMTX


関連するブログ記事

このエントリーをはてなブックマークに追加

↑このページのトップヘ