ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ
ウイルスメール実例2018 添付ファイル開いたら感染の無料対策3つ

イメージ 1
Image いらすとや

Windows パソコンを攻撃ターゲットに、マルウェアの感染を企む英語で書かれた 迷惑メール(スパムメール) がドバドバと不特定多数にバラ撒かれてます。

イメージ 4
Document No [数字]
{Thank you for using online billing system
{Thanks for using electronic billing
{Thanks for using internet billing
{Thanks for using online billing
{Thanks for using online billing system
Please find your document attached
Regards
Unpaid invoice ID:[数字]
メールのテーマはもっともらしく 「金銭の支払い請求書」「荷物の配達通知」「FAXやコピー複合機のデータ受信」 といった感じで、本文に具体的な情報が書かれておらず数行の短い文章が多いです。

見に覚えがない場合でも無視してよいか不安に駆られて、確認したい衝動の赴くまま添付ファイルへ手が伸びてしまう人間の心理的なスキを突く戦法です。

添付ファイルからマルウェア感染の流れ

2017年の傾向から、英語のウイルスメールでもたらされる不正なファイルの中で特に多い形式が2つあります。
  1. 圧縮アーカイブ … .zip/.rar/.7z
    └ 中から スクリプトファイル … .js/.jse/.vbs/.wsf

  2. Officeファイル(マクロウイルス) … .doc/.docm/.xls/.xlsm
古典的な実行ファイル(拡張子 .exe)やスクリーンセーバー(拡張子 .scr) が投入される機会は多いとは言えません。

スクリプトファイルの感染手口は?

Windows パソコン上でユーザーがスクリプトファイルをポチポチッとダブルクリックして開いたら攻撃処理の発動です。 <メール開封だけでウイルスが勝手に起動することはない

イメージ 3
不正なスクリプトファイルの実物

手元で動作確認してみると、外部ネットワークに接続してナゾの実行ファイルをダウンロードしてきてシレッと起動しました。 <実際に感染した瞬間の Windows のプロセスの様子は↓

イメージ 2
wscript.exe の下の階層に感染した実行ファイル(緑)

実行ファイルの正体が 身代金型ウイルス(ランサムウェア) なら、多くの文書や写真が破壊されて開けなくなって始めて異変に気づく悲惨なパターンです。

100%感染防ぐ無料ウイルス対策

「怪しいメールを開くな」「不審なファイルを開くな」 といった精神論ではなく、ウイルス感染手口に沿った Windows パソコン向けの対策をあらかじめ行っておきます。

誰にでも起こりうる人為的ミスから不正なファイルをうっかり開いても感染攻撃が100%確実に失敗に終わる効果的な無料ウイルス対策3つがコチラ♪

《1》 スクリプトファイルの無害化

攻撃者は スクリプトファイル(拡張子 js/jse/vbs/wsf) を開いてもらおうとしてるので、あらかじめファイルの 関連付け を変更しておくと不正なスクリプトファイルを使った手口はいっさい通用しません。 <Windows の設定を変更するだけ


《2》 マクロウイルス対策

Microsoft Office に実装されてるVBAマクロ機能を悪用する、いわゆるマクロウイルスは Microsoft Word / Excel のセキュリティ設定を変更すると攻撃能力を無能にできます。 <ホンの数分の作業を行うだけ


《3》 ファイアウォールの活用

攻撃者はセキュリティ製品のスリ抜けを狙いマルウェアのダウンロード処理に Windows の正規プログラム wscript.exe や powershell.exe を悪用することが多いので、あらかじめ ファイアウォール で通信ブロックしておきます。 <標準実装の Windows ファイアウォールでも無料で対策できる

この記事に

開くトラックバック(0)

アップローダに動画装うexe/scrファイルでウイルス感染 ダウンロード危険!

イメージ 4
Image いらすとや

今週、ファイルアップローダーサービス uploader.jp からレンタルされてる複数のページに マルウェア が無差別アップされるトラブルが発生してたみたい。

■ アラフォーなオッサンのえちーな垢さんのツイート: "【注意】ウイルスの可能性あり。 共有ロダIの117、118、ロダJの18、19、ロダBの437。以上のファイルをWinRARで中身を見たところ、拡張子がscr(スクリーンセーバー用の実行ファイル)、exe(実行ファイル)でした。落とされた方は、ご注意ください"
https://twitter.com/around_40s_3D/status/948778738015133696

■ 六十 芥(むとう あくた)さんのツイート: "まさかと思ったら・・・。 他でもちらほらあったようですが、当ロダにも全く身に覚えの無いファイルがアップロードされていました。 私はアップロードした際、(受け渡し目的での鍵付アップを除き)必ずツイッター上でお知らせいたしております。 絶対にお知らせのないファイルのDLはしないで下さい"
https://twitter.com/actA_M10/status/948596263947137024

■ ベルクトさんのツイート: "私の個人アップローダーに 私がアップしたものではないファイルが上げられていました。 画像の上二つのファイルは絶対にDLしないでください。 ウィルスの可能性があります。 気付くのが遅れ申し訳ありません。"
https://twitter.com/fujimu5015/status/949084670288740353

ファイルアップローダーの多くは誰でも自由にファイルをアップできるシステムなので、悪意のあるユーザーにも不正な目的で使い放題となり危ない。。。 <誰がアップしたのか素性不明なファイルだらけなのが現実

【配布ファイル名の例】
【クリスマスアレンジ】けものフレンズメドレー.rar
【コミケ中継】『コミックマーケット93』会場の様子をみんなで見よう【DAY3】.zip
【鏡音リン鏡音レン】 RINLENMANIA 10 【ノンストップメドレー】.zip
【邪聖剣ネクロマンサー】限りなくクソゲーに近いRPGをやる会_PartLast.rar
【邪聖剣ネクロマンサー】限りなくクソゲーに近いRPGをやる会_PartLast.zip
【声真似】長兄松がごとく君氏危うくも近うよれを歌ってみた.rar
20171230dmdmdmdmmdmdmdmmdmddmmdmdmdmdmdmdmdmdmdmdmdmdmdmdmdmdmdmdmd.zip
20171230fsdf23rewrfdsfavfdgsfad332a.avi.zip
20180103avavavvavavavvavavavvavavavavvavavavavvavaaaaaaaaa.zip
20180103dmmmmdmmmmmmmmmmmdmmmmmmmmmmmmmmmmmmmmmdmm.zip
20180105avavavavvavavavvavavavavavavavavavavavavavava.zip
20180109mmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmm.zip
2018avavavavaaaavvvvvvvvvvaaaaavvvvvvvvvvaaaaaaaaavvvvvvvv.zip
dmmdmmdmmm.zip
giregiregi20180102regiregiregiregiregiregiregiregiregiregiregiregiregiregiregire.zip
toitowanff.rar
youソロギターアレンジ楽譜.zip
コブクロ LIVE TOUR 2018 “TIMELESS WORLD” VideoMarket.zip
一番新しい、最強のAVドラマは10万円もかかりました!.zip
結月ゆかりのコスプレセットです.zip 無題な濃いログ
結月ゆかりの双子の弟の受難 8日目.zip
佐々木彩夏 高橋まい 森下真依 相川聖奈 臼坂まゆ 北村真珠 新原.zip
子連れ人妻がそんな水着でプールに来ちゃダメでしょ!?.zip
私の最新撮った写真です、評価してください。.zip
戦争の舞台は日本 .zip
戦争の舞台は日本 .................................zip
透け透けレース下着セット9種.zip
本物の恋人を見抜け!カップルハンター 2018.zip 無題な濃いログ

【URL】
https://ux.getuploader.com/[いろんなユーザーID]/

圧縮ファイルの中身が…

このzip/rar形式の圧縮アーカイブをダウンロードして、解凍・展開作業を実施すると中身は次のファイルでした。 <危険ヤバい
  • Windows向け実行ファイル … 拡張子 .exe
  • Windows スクリーンセーバー …拡張子 .scr
イメージ 1
動画や音楽ではなく実行ファイル .exe
  1. ファイル名が異様に長く後ろ部分が ... で省略されて拡張子が見えない
  2. 圧縮アーカイブ あるいは Windows Media Player のメディアファイル っぽくアイコン画像を偽装してる
ちなみに、この実行ファイルのリソースデータを覗いてみると 見慣れない漢字 が描かれたイメージ画像が含まれてました。

イメージ 2
生まれはお隣の大陸?

起動するとバックドアに感染

動作確認のため、Windowsパソコン上で実行ファイルやスクリーンセーバーを故意に ダブルクリック して開いて起動すると、Cドライブの特定フォルダーに2つのファイルがコッソリ投下されます。

イメージ 3
フォルダーに投下された動画ファイルと実行ファイル
  1. 〜.mp4 → ファイルサイズをより大きく見せるための無害な動画
  2. Server.exe / server.exe / office.exe → バックドアの実行ファイル
そのうち、実行ファイルが起動して常駐するようになっており、さらに香港や中国のサーバーと通信を試みる処理が存在するものの、その後どうなりますやら。

【ウイルス感染攻撃の流れ】
ファイルアップローダーにアクセス
 ↓ ダウンロード
圧縮アーカイブ .zip .rar を手にする
 ↓ 解凍・展開
実行ファイル .exe / スクリーンセーバー .scr が登場する
 ↓ ダブルクリック
マルウェア感染へ


関連するファイルの詳細


【圧縮ファイル内の実行ファイル例 (ドロッパー)
9cdf23625320c8ecaf357eadf237c4ca
www.virustotal.com/ja/file/fa57671436c2fd00a7e63fb3688ed71c5cd404ba52ebcee53883f82b1f54a8d2/analysis/1514960088/

14af3ecca04622a53858a9f67241c5ef
www.virustotal.com/ja/file/a6537282b08aa8f9ac92e8c0b0ae64df36221e17a66f6051cd7f1f3a260fc994/analysis/1514989287/

6a716e15a51fc445c3f3480acdbb0e6f
www.virustotal.com/ja/file/4500124dcbbf03a43c9ce5b790015dd29abc19b688e88e487249adde466b4d55/analysis/1515001513/

de56c68f7705ed01a12d61a6872569a6
www.virustotal.com/ja/file/abe383bf63f7af531a6ca72a67f5686ed3006f489d016ef80398ad7193f56eff/analysis/1515005541/

【投下されるバックドア
Server.exe
9a0050e4286e32e5a350c69dd6654b92
www.virustotal.com/ja/file/e25c495d8d4bd5528628a63bdceaa831650b1dc04c9abeb97f3976c30433e8dc/analysis/1515065063/
C&Cサーバー → 52.128.242.244 香港

server.exe
de84d5044a7eaa910e6e91c71fd7adf6
www.virustotal.com/ja/file/abe67c7e9443da99c00050716024a89b7442ad1bc3defc620e54ece1020e46ff/analysis/
C&Cサーバー → 120.43.68.57 中国

office.exe
1506ed0bf86cb8f14a39f0fdd74de1cb
www.virustotal.com/ja/file/30389c6eb253a210b4129cf9beb5e28e820537a14869ae92ad40b99dbc8ea102/analysis/1496847669/
C&Cサーバー → 120.43.68.57 中国

Server.exe
39783d9221fcfa7621ae7d3dbdf6c7e8
www.virustotal.com/ja/file/9eb0cb2ad369b8f93b4568a8c3ab1929c2da7726a6f517fef1d8cad5a88bdb3b/analysis/1514158716/
C&Cサーバー → 58.22.95.169 中国

関連するブログ記事

最終更新日: 2018/01/12

この記事に

開くトラックバック(0)

【詐欺】Apple IDセキュリティ質問を再設定iCloudメール フィッシングサイト誘導で危険

イメージ 1
Image いらすとや

米 Apple Inc. に成りすまし、実在するクラウドサービス iCloud静岡 から不正アクセスがあったかのよう通知するセキュリティ警告を装った日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。

イメージ 5
Apple に偽装した迷惑メール実例
件名 あなたのApple IDのセキュリティ質問を再設定してください。
送信者 Apple <noreply@email.apple.com>
お客様のApple ID が、ウェブブラウザからiCloudへのサインインに使用されました。
{日付と時間:2017年12月26日 22:08 JST{日付と時間:2017年12月27日 22:08 JST
のブラウザ: Chrome
オペレーティングシステム: Windows
IP:220.31.254.151(静岡)
上記が問題でない場合は、このメールを無視してください。FireflyFramer
最近iCloudへサインインを行ったことがなく、他者が違法にお客様のアカウントを使用していると考えられる場合は、Apple IDでパスワードをリセットしてください。
今後ともよろしくお願い致します。
Apple サポートセンター
Apple ID | サポート | プライバシーポリシー
Copyright 2017
Apple Distribution International, Hollyhill Industrial Estate, Hollyhill, Cork, Ireland.
すべての権利を保有しております。
表面的に見える送信者を偽装、本物のリンゴの企業ロゴを悪用して右上に表示、日本語の文章の完成度がかなり高い偽メールなので注意が必要です。

Apple詐欺メール送信者は?

手元に着弾した偽メールのヘッダーを確認すると、IPアドレス 5.178.158.32 から送信されていて、この地理的位置は東欧のジョージア(グルジア)だとか。

イメージ 7
送信者は Apple なってるけど実際は…

このIPアドレスを引いてみると、マルウェアに感染してボットネットに組み込まれた PC を攻撃者が遠隔操作でスパム配信に悪用してる判定になってました。

イメージ 8
abuseat.org でIPアドレスはスパムボットからの送信

誘導先は iCloud 偽サインインページ

衝撃的なメールを真に受けて動揺し、本文中に記載されてるリンク 「Apple IDでパスワードをリセット」 を仮にもポチッとクリックすると、外観デザインが完璧に偽装されてる iCloud の偽サインインページでした。

イメージ 2
「iCloudへサインイン」

ここにはユーザー名(Apple ID)とパスワードの入力欄が用意されてあり、送信した Apple ID アカウント情報が攻撃者に流出する危険な フィッシングサイト です。

個人情報やクレジットカード番号も

デタラメ情報を送信して先へ進めると、氏名・生年月日・住所・電話番号、クレジットカードの情報、セキュリティの質問の回答を要求する形になってました。

イメージ 3
「アカウントの個人情報とセキュリティ情報をすべて確認」

イメージ 4
「Apple IDのお支払い情報」

フィッシング詐欺の対策は?

フィッシングサイトの見分け方

上のようにパッと見の見た目はいくらでも偽装できます。

そのため、ブラウザのアドレスバーに表示されてる URL が Apple Inc. の公式サイト apple.comicloud.com であることを確認しましょう。

イメージ 6
正規 iCloud サインインページ

【Apple iCloudフィッシングサイトURL例】
http://proving-icloudi[.]com/

http://protection-icloudi[.]com/
 ↓ リダイレクト
http://proving-appleid-apple[.]com/
http://protection-icloud[.]com/


フィッシングメールの対処方法

この手の Apple メールを受け取ると、どうしようか悩んだり頑張って見分けようするユーザーさんいるけど、ハッキリ言って 時間の無駄 です。
  • メールは本物か偽物か
  • リンクを踏もうか踏まないか
メールなんぞサッサと 無視 してよく、Apple iCloud の公式サイト apple.com や icloud.com にブラウザから直接アクセスすれば簡単&安全に対処できます。 <いちいちメールに振り回されない
関連するブログ記事

この記事に

開くトラックバック(0)

[ すべて表示 ]

本文はここまでですこのページの先頭へ
みんなの更新記事