ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ
【詐欺】エラーDW6VB36あなたのコンピュータはブロック削除方法

マイクロソフトや Windows のブランドを勝手に悪用し、デタラメな嘘のセキュリティ警告を表示してサポート電話へ問い合わせるよう誘導する日本語表記の詐欺ページが確認されてます。

この手の 偽警告を表示するページ は IE、Edge、Chrome などブラウザで必ずしも怪しいところばかりではない一般サイトをネットサーフィン中に突然転送されるパターンが多いです。 <リダイレクト型の埋め込み広告を介して

イメージ 1
マイクロソフトを装った偽警告ページ

*** エラー# DW6VB36 ***
あなたのコンピュータはブロックされています
エラーDW6VB36
すぐに私たちに電話してください: 03-****-****
この重大な警告を無視しないでください 無題な濃いログ
このページを閉じると、ネットワークのさらなる損傷を防ぐためにコンピュータのアクセスが無効になります
お使いのコンピュータからウイルスやスパイウェアに感染していることが警告されています 無題な濃いログ
次の情報が盗まれています...
ログイン
クレジットカードの詳細
メールアカウントのログイン
このコンピュータに保存されている写真
私たちのエンジニアが電話で取り外し手順を案内
お使いのコンピュータが無効にならないように、5分以内にお電話ください
すぐに私たちに電話してください:: 03-****-****
http://blogs.yahoo.co.jp/fireflyframer/34550241.html

提示されてる番号へ電話すると、変な日本語を操る怪しい外国人が登場し、調査すると称して遠隔操作ソフト(AnyDesk、TeamViewer)を導入するよう仕向けて、最終的にPCサポート契約を結ばせる脅威 サポート詐欺 に遭います。 <マイクロソフトはいっさい関係ない!

ブラウザ画面内で行われる偽の演出

ブラウザの画面内で行われる表示や動きは、ユーザーに衝撃を与えて焦らせるため HTML、イメージ画像、JavaScript なんかを駆使した偽の演出なのでとにかく動じないで〜。

イメージ 2

○ Windows 8/10 のブルースクリーンエラー、Windows Defender のウィンドウ画面「PCの状態: 危険」 ⇒ 画像を表示してる

○ Chrome ブラウザの上部分 ⇒ 偽のタブ&アドレスバーの画像を表示してマイクロソフトのURLにアクセスしてるかのよう偽装してる

○ マウスカーソルが勝手にフ〜ラフラと動く ⇒ 矢印の画像をテキトーに移動させて錯覚させるアニメーション

○ 男性の声で音声案内『マイクロソフト セキュリティ警告 お使いのコンピュータは危険なトロイの木馬に感染してる 〜 マイクロソフトのサポートエンジニアが電話にて除去の手順を案内いたします』が流れる ⇒ HTMLの <audio>タグ でmp3形式のファイルを読み込みループ再生してる

○ ブラウザのダイアログをポップアップ表示する ⇒ 無限ループで抜け出せないかのような状況に仕立てる

偽警告ページの削除方法

妨害されて偽警告ページが消せない状況にパニクるやもしれんけど、タブを閉じるかブラウザを終了させれば簡単解決です。

■ ブラウザのタブを閉じる

ブラウザのダイアログが表示されてないタイミングを見計らってタブを閉じる

= ショートカットキー =
 Ctrl + W あるいは Ctrl + F4

ブラウザを強制的に終了させる

【1】 Windows の タスクマネージャー を開く

イメージ 3
  • タスクバー上で右クリックし [タスク マネージャーの起動]
  • Ctrl + Alt +Del キーの同時押しで [タスク マネージャーの起動]
【2】 終了させたいブラウザを選択して、下部にある [タスクの終了(E)]ボタン をポチッとな♪ (Windows Vista/7の場合は [アプリケーション]タブ にある
関連するブログ記事

この記事に

開くトラックバック(0)

怪しい請求書迷惑メールsze-yating/drtingting docファイルでウイルス感染

イメージ 4
Image いらすとや

日本語の文章が明らかに不自然で怪しいと感じるけどどうしても気になって無視できず右往左往するユーザーさんが現れる 迷惑メール(スパムメール) がバラ撒かれてます。

■ ヤフーメールに怪しいメールが来ました。「添付書類に支払いの請求書がある」と書いてありますがもちろん開いてません。ただ私の漢字フルネームと、自宅の電話番号が件名や本文に入っていて、明らかにどこかから情報が漏れているようです。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14171785509

■ 今朝、怪しいメールが届きました。時間は早朝4時半で森和夫という名前で送られてきました。請求説明があるというドキュメントファイルが添付されていましたが、その人も知らないしメールの日本語が変で時間的にも怪しいと思って削除してしまったのですが…何故か私の名前と携帯番号も載ってました。なので少し怖くなってしまってます。よく大手でない通販を利用したりするので、もしかしたら情報が漏れたのかなと思っているのですが不安です。アドレスの後が@sze-yating.comです。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13171816923

■ 「フルネーム@sze-yating.com」と言うアドレスで送り先が「アカウント個人名」でメールが来ました、このようなメールは初めてですし添付ファイルがついています。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14171816089

■ 迷惑メールに自分の本名と携帯の電話番号が入っていました。不安です。yahooの迷惑メールフォルダを開いたらこのようなメールがきていました。
送信元:伊東佳奈子<reply@drtingting.com>
タイトル:勘定書(私の電話番号)
本文:もしもし (私の本名).
これは 伊東 佳奈子.
私はあなたに電話した (私の電話番号).
アタッチメントの支払いの請求書を探します
送信元:阿部孝 <osaeizumi@drtingting.com>
タイトル:直話 (私の電話番号)
本文:ご挨拶 (私の本名).
わたし 阿部孝.
私は電話番号であなたに電話した (私の電話番号).
添付書類にお支払いの詳細があります阿部孝
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11171778286

■ 本日、聞いたことの無い名前でメールが送信されて来ました。そのメールには、私のフルネームと正確な固定電話番号が記載されており、金銭を請求しているようです。
http://okwave.jp/qa/q9305850.html


メールには実際の自分の 氏名電話番号 が記載されてるそうで、どこかしら日本のウェブサービスに不正アクセスして盗まれた個人情報のデータを元にメールを配信してる?

請求書? 添付されてるWordファイルの詳細

メールの添付ファイルは ”請求書” という名目の Word文書(拡張子 .doc) で、手元にメールは来てないのでオンラインマルウェア解析サイト Payload Security から調達できる該当のdocファイルはコレ?

document[数字].doc
MD5 76755ee0e56c6b0476677ae698374513
www.virustotal.com/en/file/d39c9599e0d055e2dfa8d22c7e52796a7a9fbedf1051d9c5ea9b99a2929aaa7f/analysis/1489543124/

→ ショートカットファイルが埋め込まれてる
Document.docx (2).lnk
MD5 e49fc728e1a9e591e495b4f74c0f152d
(bitsadmin.exe を介して Ursnif ウイルスをダウンロード)

document[数字].doc
MD5 cbdb2663fd5d8a54636a2887030b3a18
www.virustotal.com/en/file/c7b0a69db8b0013a0032e7ba335da31d3413fd17175a9bbf9f4b30d099d24ac2/analysis/1489638993/

→ JScript Encoded Script ファイルが埋め込まれてる
document9809.jse
MD5 29b995848de600c604edd93796a7ed07
(powershell.exe を介して Ursnif ウイルスをダウンロード)

このWordファイルは…
  • キリル文字 の環境で作成されてる → たとえばロシアとか
  • マクロの処理は含まれてない → マクロウイルス ではなし
  • docファイルの内部に不正なファイルが埋め込まれてる
最終的に、Windowsパソコンをターゲットにするネットバンキング不正送金ウイルス Ursnif(読み方 アースニフ) に感染させることが目的になります。 <正確にはその派生となる Dreambot

Windowsパソコン以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー の環境では動作しないファイル形式なので大丈夫です。

docファイルを開くとどうなる?

具体的にどんな手順を踏んだら感染するのか… 攻撃手口を知るためその1つのdocファイルを手元で開くと Microsoft Word 上で次のような表示になります。

イメージ 1
変な日本語 ”コトバの壁” のお陰で怪しさ爆発

あなたが領収書を見たい場合は、文書をダブルクリックしてください。
← Wordのアイコン画像
債権者の識別番号 56300******* トランザクション     オーバードラフト支払利息
金額は 日付、03.14.2017
私たちのすべての必要な情報を提供してください。
この手紙が公開されていて、それが裏書を持っていません。
あなたのアカウントを計算する方法。
注:「先月のための請求書発行」。

今回はdocファイルを開いただけでは何も起こりません。

ここから攻撃を喰らうには、文書上の日本語の指示にもあるように アイコン画像の領域をダブルクリック し、さらに [開く(O)]ボタン を押す必要があります。

イメージ 2
セキュリティの警告ダイアログで開くか確認する

仮に、まともな日本語で説得力のある誘導メッセージになってたら、心を操られて律儀に従い自爆するユーザーさん出かねず注意が必要です。 <こんな形で請求書なり領収書の通知を提供するなぞ100%あり得ない

試しに、この スクリプトファイル(拡張子 .jse) を開くと、裏側では powershell.exe を介して外部ネットワークから 実行ファイル(拡張子 .exe) をダウンロードしてきてシレッと起動し感染となります。

イメージ 3
powershell.exe の下にナゾの実行ファイルが…
ネットバンキング不正送金ウイルスに感染した瞬間
関連するブログ記事

この記事に

開くトラックバック(0)

【詐欺】マイクロソフトのプロダクトキーが不正コピー迷惑メール フィッシング危険

日本マイクロソフトセキュリティチームを勝手に名乗って成りすまし、先月1月にバラ撒かれた 迷惑メールご注意!!OFFICEのプロダクトキーが不正コピーされています。』 の続編スパムが不特定多数にバラ撒かれてます。
警告!!ご利用のマイクロソフトのプロダクトキーが何者かにコピーされています。
警告!!マイクロソフトのプロダクトキーが不正コピーされている恐れがあります。
差出人 日本マイクロソフトセキュリティチーム

セキュリティに関する警告!!
あなたのオフィスソフトの授権が間もなく終わってしまう可能性があります。
マイクロソフトセキュリティチームの調べによれば、あなたのオフィスソフトのプロダクトキーが何者かにコピーされている不審の動きがあります。
何者かがあなたのオフィスソフトのプロダクトキーを使って、他のソフトを起動しようとしています。こちらからはあなたの操作なのかどうか判定できないため、検証作業をするようお願いします。
{検証作業が行われていない場合、あなたのオフィスソフトのプロダクトキーの授権状態がまもなく終わりますので、ご注意ください。
今すぐ認証
{*ライセンス認証とは、他人による不正操作を防ぐテクニックのことで、簡単に行うことができます。しかも全ての操作が匿名で行われるため、個人情報漏えいの心配はありません。
{*ライセンス認証(マイクロソフトプロダクトアクティベーション)とは、不正なコピーを防止する技術で、手続きは簡単に実行できます。 また、この手続きは匿名で行われるので、お客様のプライベートな情報は保護されています。ご安心ください。
不自然な表現 「オフィスソフトの授権」 も見られ嘘デタラメの警告通知だけど 「プロダクトキーが何者かにコピーされている不審の動き」 なる衝撃的な情報でビックリ仰天させて、誘導リンク「今すぐ認証」をポチッと踏ませようとします。

マイクロソフトを装った不審メールの配信について | News Center Japan
http://news.microsoft.com/ja-jp/2017/01/12/

誘導先はマイクロソフト偽サインインページ

手元でアクセスしてみると、まずは Microsoft Office の公式サイトっぽく外観デザインが巧妙に偽装されてる日本語ページが表示されます。

イメージ 1
トップ画面
ご注意!!OFFICEのプロダクトキーが 不正コピーされています
お客様のOfficeのプロダクトキーが 不正コピーされていることが日本マイクロソフトに検出されました。正規版の利用者であれば、日本マイクロソフトの認証にご協力ください。でなければ24時間後に当プロダクトキーを無効にします
下の [今すぐ認証]ボタン をクリックすると自称サインインページへ移動して、ここで送信する ユーザー名(メールアドレス)やパスワード文字列 が攻撃者に盗み取られてしまう仕掛けです。 <Microsoftアカウントのフィッシング

イメージ 2
偽サインインページ

イメージ 3
PINコードを用いてOfficeを守ります!?
個人情報&クレカ番号も盗み取ろうとする

Q. ウイルスに感染しますか?

いいえ。フィッシングサイトにアクセスしてもウイルス感染する場面はなく、あなたの意思でアカウント情報を送信しない限り何ら危険性はありません。

フィッシングサイトURL

フィッシングサイトのURLは異様に長く、マイクロソフトの正規ドメイン名 microsoft.com とか office.com ではありません。 <見分け方はURLアドレス確認!

http://popular-food168[.]com/
 ↓ 転送
http://support-securityprotection-office[.]com/
→ http://support-securityprotection-office[.]com/verify.php

http://taste-gotravel[.]com/
http://dudupizza[.]com/
 ↓ 転送
http://support-securityteam-office[.]com/
→ http://support-securityteam-office[.]com/verify.php

http://dudupizza[.]com/
 ↓ 転送
http://warnning-securityprotection-office[.]com/

http://rururu[.]cf/
 ↓ 転送
http://support-securitybulletin-microsoft[.]com/
http://support-securitybulletin-microsoft[.]com/verify.php

http://safemic[.]gq/
 ↓ 転送
http://support-securitywarning-microsoft[.]com/
http://support-securitywarning-microsoft[.]com/verify.php

http://wolaile[.]ru/
 ↓ 転送
http://microsoft-securityprotection-support[.]com/
http://microsoft-securityprotection-support[.]com/verify.php

ドメイン保有者はロシア人?

利用してるサーバーはロシアの会社、WHOIS検索からドメイン保有者は名古屋やロシアにいるロシア人風の名前になってて、まあデタラメ登録なんでしょう。

> www.virustotal.com/ja/ip-address/80.252.22.123/information/

Domain Name: POPULAR-FOOD168[.]COM
Registrant Name: Aleksandr Ivanovich
Registrant Street: KUSUMURA Company 79-3Chaomei, syumoku-Chao
Registrant City: Higasi-K
Registrant State/Province: Nagoya-Shi
Registrant Postal Code: 4610014
Registrant Country: JP
Registrant Email: benessage@mail.ru


> www.virustotal.com/ja/ip-address/80.252.22.121/information/

Domain Name: SUPPORT-SECURITYPROTECTION-OFFICE[.]COM
Registrant Name: Aleksandr Shevchenko
Registrant Street: komi Republic, 109 No.12
Registrant City: vuktil
Registrant Postal Code: 16957016
Registrant Country: RU
Registrant Email: akk855bk@mail.ru

> www.virustotal.com/ja/ip-address/80.252.22.103/information/

Domain Name: TASTE-GOTRAVEL[.]COM
Registrant Name: Maksim Yulenka
Registrant Street: KUSUMURA Company 79-3Chaomei, syumoku-Chao
Registrant City: Higasi-Ku
Registrant State/Province: Nagoya-Shi
Registrant Postal Code: 4610014
Registrant Country: JP
Registrant Email: benessaye@mail.ru
関連するブログ記事

この記事に

開くトラックバック(0)

注文書送付? 写真取り直し? 迷惑メール添付exeファイル開いてウイルス感染

イメージ 2
Image いらすとや

件名の日付が古くて不自然な日本語表記の 迷惑メール(スパムメール) が不特定多数に送信されてます。 <去年9月にバラ撒かれたメールのまんま使い回しで手直ししてないため
注文書の送付(2016.09.27)
いつもお世話になっております。
注文書を送付させていただきます。
添付ファイルをご確認下さい。
ご手配の程よろしくお願い申し上げます。
以前から投入されてる写真の取り直し 迷惑メール(スパムメール) も。
写真
お世話になっております
写真で
ご確認ください。
取り直しお願いします。
メールの添付ファイルはZIP形式の圧縮アーカイブで、展開・解凍して中身を確認してみると次のような Windows向け実行ファイル拡張子 .exe) の登場です。

イメージ 1
「003884775588-2017.pdf.exe
同一で「image1_0294389785478img.jpeg.exe

MD5ハッシュ 7582f6281d32204011f8086d22a91153
www.virustotal.com/ja/file/85dfcbf04716703dacb5428a4d498201e2c01db7e4f08830d5157c197b725a8f/analysis/1487837293/

〜.pdf.exe」「〜.jpeg.exe」と二重拡張子を施して、ユーザーに PDF文書JPEG画像 と思い込ませて開かせようとしてるけど ファイルの拡張子に注意を払えば怪しい ことにすぐ気づけます。

この正体はネットバンキング不正送金被害に繋がるウイルス Ursnif(読み方 アースニフ) なので、絶対にポチポチッとダブルクリックしてはいけません!

ちなみに、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケーは動作環境ではないのでまったく影響ありません。
関連するブログ記事

この記事に

開くトラックバック(0)

の陳述書? 備品発注依頼書? 迷惑メールのwsfファイル開きウイルス感染被害

イメージ 5
Image いらすとや

Windowsパソコンをターゲットに ネットバンキング不正送金ウイルス の感染を企んだ日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】ウイルス付メールが拡散中!件名は「備品発注依頼書の送付」。本文は添付書類を開くよう誘導する内容になっていますが、添付ファイルはPDF文書を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/834195429868740608

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】ウイルス付メールが拡散中!件名は「の陳述書」。本文は添付書類を開くよう誘導する内容になっていますが、添付ファイルはPDF文書を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/834297219125633025
メール本文→『PDFですが、がひっくり返っていますので見難いかと思いますがよろしくお願いします。原本は明日郵便で送信します。』

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】ウイルス付メールが拡散中!件名は「口座引落」「支払条件確認書」。添付ファイルは書類を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/834316533031530496

メールの添付ファイルはZIP形式の圧縮アーカイブなので、解凍・展開して中身を確認してみると スクリプトファイル拡張子 .wsf) が登場しました。

イメージ 2
「ord.09288377493.jp.pdf.wsf

イメージ 1
「PDF」フォルダ内に2ファイル
「PDF20170220.00003.PAGE2.PDF.wsf
「PDF20170220.00003.PAGE1.PDF.wsf

とにかく PDF文書 とユーザーに思い込ませたいようで、文書の1ページ目と2ページ目と言わんばかりのファイル名に二重拡張子も施されてます。

ファイルの形式(拡張子)に注意を払える ユーザーさんなら、文書ではない不自然なファイルが送られてきた異常にすぐ気づけて攻撃者の策略に対抗できます。

wsfファイル開いたらウイルス感染

決してやってはいけないけど、このwsfファイルを手元でポチポチッとダブルクリックして開いてみた直後はこのようになりました。

イメージ 3
wscript.exe → cmd.exe → 謎ファイル がシレッと起動

このバックグラウンドでは wscript.exe を介してドイツのサーバー(飼い猫の紹介ページ?)に接続し、実行ファイルをダウンロードしてきてます。

イメージ 4

MD5ハッシュ 3bc9382a817f3d549e567053d6a0020b
www.virustotal.com/ja/file/8998b0a4c476b7dc20379dada6ba89cd6aad661e9bbe514562f97b1d128aca03/analysis/1487717494/

この正体はネットバンキング不正送金被害へ繋がる Ursnif(読み方 アースニフ) というコンピュータウイルスです。

ちなみに、動作環境ではない Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はまったく影響なく大丈夫となります。

wsfファイル開いてもウイルス感染失敗

怪しいメールを無視して添付ファイルを開かない理想が達成できるなら万事解決だけど、ヒューマンエラーから踏み抜いてしまう可能性を見越して感染攻撃を確実に失敗させる無料ウイルス対策も存在します。

ファイアウォールの設定で wscript.exe を通信ブロックに登録にしておく
 (無料Windowsファイアウォール、導入済みセキュリティソフトのファイアウォールで)

この記事に

開くトラックバック(0)

[ すべて表示 ]

本文はここまでですこのページの先頭へ
みんなの更新記事