日本郵政を騙ったウイルスメールに注意
2016年1月5日 TCG全般 コメント (22) です。びっくり。
下記のサイトで割りと詳しく説明されています
http://www.rbbtoday.com/article/2015/12/14/137880.html
要するに、日本郵政から、
「拝啓配達員が注文番号4742763の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。従ってご注文の品はターミナルに返送されました。ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。このメールに添付されている委託運送状を印刷して、最寄りのEMS取り扱い郵便局までお問い合わせください。敬具 」
というメールが来て、添付ファイルがついています。
それを解答すると。EMS~~.src というファイルが入っています。
それを起動すると、ニセの画像が表示されるとともに、ウイルスに感染するとか。
・・・ていうか、今日そのメールが来て、普通に開いてしまい、起動してしまったのですよね・・・うむむ。
ウイルスバスターではウイルスは出てこないし、パソコンのチェックをしたけど、ウイルスが出てこない。
でも、ぜったいウイルスに感染しているでしょうし、参ったなぁ・・・
下記のサイトで割りと詳しく説明されています
http://www.rbbtoday.com/article/2015/12/14/137880.html
要するに、日本郵政から、
「拝啓配達員が注文番号4742763の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。従ってご注文の品はターミナルに返送されました。ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。このメールに添付されている委託運送状を印刷して、最寄りのEMS取り扱い郵便局までお問い合わせください。敬具 」
というメールが来て、添付ファイルがついています。
それを解答すると。EMS~~.src というファイルが入っています。
それを起動すると、ニセの画像が表示されるとともに、ウイルスに感染するとか。
・・・ていうか、今日そのメールが来て、普通に開いてしまい、起動してしまったのですよね・・・うむむ。
ウイルスバスターではウイルスは出てこないし、パソコンのチェックをしたけど、ウイルスが出てこない。
でも、ぜったいウイルスに感染しているでしょうし、参ったなぁ・・・
コメント
限定的な用途のメールアドレスに届くと、
何処かのショップのPCが感染した(個人情報が既に漏れた)んじゃないかと疑ってしまいますね。
怖いですよね・・・スマホだとウイルスに強いらしいから安心ですけど、ホントびっくりしますよね・・・
>遺伝アルゴリズムさん
トロイの木馬タイプなのですか、情報ありがとうございます。
そっちはセキュリティソフトがしっかりしているっぽいですね。こっちの使っている、ウイルスバスターよりも性能がよさそうです。
>osaさん
それはありますね。普段メールや迷惑メールなどは来ないメールアドレスに来ていたため、メールアドレスを登録しているのはカード通販関連しかなさそうなんですよね・・・
htp://www.bleepingcomputer.com/download/tdsskiller/
TDSS killerで、ルートキット検査から開始してください。
htt://www.bleepingcomputer.com/download/roguekiller/
そしてrogue killerでフルスキャンを。
ーーーーーーーーー
htp://www59.atwiki.jp/malware_laboratory/pages/7.html
MBAMで脅威スキャンしてください。
*最低限、ここまでやり、ルートキット感染があった場合は、非常に深刻です。MBR,VBRなどの修復をしてから、リカバリしないと、通常リカバリでも解決しないんです。
事態は深刻だとご理解ください。
詳しく解説ありがとうございます。
それらなどを試して、なんか色々改善されたっぽいです。ホント助かりました。
もうちょっと何かあるなら、再インストールとかも視野に入れることにします。感謝です!
MBAMの感染記録=logを見て欲しいのですが、
Rovnixに感染しているのか?
Dofoilに感染しているのか?
細かいことがわかると、さらに対処可能かと思います。
今回、恐ろしいのはMBRという領域にRovnixが感染していると、非常に厄介なんですね。というのも、すごく簡単にいうとPCが動く仕組みは
電源をonにする → BIOSが動き出し → MBR領域が動き出し → Windows OSが動き出す(大雑把にいうと)という流れになります。
すると、もしもMBR領域が感染していた場合はね、リカバリしても「そのままでは治らない」のです。なぜなら、リカバリはOSを入れなおしている行為であり、MBRを入れなおしているわけじゃないからなんですね。
htps://support.kaspersky.co.jp/2727
大雑把?に言いますとね、「普通」のウイルス感染の場合は、Windows OSに感染するわけです。だから再インストール(リカバリ行為)すれば、OSを入れなおしているわけだから、解決するんですね。
ところが?今回の日本郵政Rovnix感染の場合は、MBR(厳密にはVBR)感染の可能性があり、万が一MBR領域に感染していた場合は、Windows OSが起動する「その手前」のMBRに感染して住み着いているわけだから、OSを何度入れなおしても、MBRに悪党が住み着いている限り、永遠に感染が続くという、なんともまあ、厄介なお話なんですね。
過去もMBRに住み着くウイルスは、いましたが、これは攻撃する側にとっても技術的に難しい攻撃だったので、だんだん、ウイルスの数が減っていきました。ところが、最近、攻撃者の腕前が急激に上昇しており、MBR攻撃も激化してきたんですねえ。
それを狙っているのです。オンラインバンキング情報を狙い、その情報を盗みだしたり、あるいは、偽の銀行オンライン画面をPCに写しだして、気がつかないuserは、パスワードを入力してしまったりとかね。
htp://www.security-next.com/065356
嫌な時代になりましたね。
htt://support.eset.com/kb3471/?viewlocale=en_US
ESETの駆除toolも、使ってみてください。
❷ちょっと面倒ですが、Bit DefenderのレスキューDisk(DVD-Rで自作)。
htp://www.bitdefender.com/support/how-to-create-a-bitdefender-rescue-cd-627.html
ISOをダウンロードして、DVD-Rに書き込み、(あるいはUSBメモリでも自作できます)完成したら、PCにセットして再起動させるだけ(ただし、DVDを起動1位にするなど、工夫してください、BIOSで)
MBRへの感染さえなければね。なんとかなりますんで。まずは、検査済みのlogを見て、どんなものが検知されていたかを確認し、googleで検索するなど、情報をかき集めてください。
それと、今後、この手の攻撃が増えます。ウイルス対策ソフトでは、もう、保護できないので、
htp://www.gigafree.net/system/SystemBackup/RebootRestoreRx.html のようなもので、PC保護する時代です。これだと、MBRまで保護しているので、万が一、感染しても、PC再起動すると、感染はなかったことにしてもらえます。ネット喫茶のPCと同じ。再起動すると、すべてチャラにしてもらえる設定。
でも、PCで作業した行為が、PC再起動で全部「無かったことにされて」しまうので、PCで作業して、重要な作業を行った場合=PCにそれを記憶させたい場合は、RXを「一時的」に「一時停止=Disable」をし、作業が完了したら、またRXを有効にすると、その有効にした瞬間が「新しいベースライン」の扱いとなり、PC再起動すると、また、そこの新しいベースラインに、戻ります。
で、例えば、windows updateをした場合は、PCの再起動が必要です。このような場合は、RXを一旦「一時停止=Disable」状態にしたまま、windows updateを行い、windows updateが完了して再起動を要求されたら、RXも一時停止した「まんま」PCを再起動すればOKです。再起動後、windows updateは完了しており、その後にRXを有効にすれば、windows updateも有効の扱いとなります。
この手の保護toolが必要になったということですね。
↑
これが具体的な感染被害の一例です
とっても助かります。
順番に色々と試していこうと思います。
たくさんの情報を下さり、本当に感謝です!
トレンドマイクロのウイルスバスタークラウドを使っているんですね?
htp://esupport.trendmicro.com/support/vb/solution/ja-jp/1314019.aspx
↑
これを見て、そして、どうしても教えて頂きたいことがあるんですよ。それは、ウイルスバスターのfirewallなのですが、「ファイアウォールチューナー」が、ZENOさんの場合は、今現在、有効に設定されているか、それとも「無効のまま」の状態になっているか、そこだけ、どうしても教えて欲しいのです。
ウイルスバスターを使っているuserにとって、この部分は本来有効設定にすべきなのですが、なーんと。トレンドマイクロは「初期設定では、無効にしている」というのですよ。これじゃあ、感染阻止できません。その確認の意味もあり、どうしても、そこを見て、教えてほしいのです。お手数かけますが、教えてくださいませ。
^^)
早速確認してみると、「ファイアウォールチューナー」は無効になっていました。まあ、設定してなかったですしね・・・
とりあえず有効にしました。
あと、幸いな事に、いくつか確認をしたのですが、「Rovnix」は確認されませんでした。
最初にコメントを頂いた時には、Rovnixが出てきていたので、どうやら完全に除去されたっぽいです。
ホント感謝ですb
Rovnixによる被害発生しましたね、日本でも。
scanして検知されなくなったとのことで、ホントに良かったと思います。
そして、ウイルス馬スターの件、ありがとうございました。やはり初期設定ではブロックできないということが、分かりましたので、こちらも勉強になります。お手数をおかけしました。ZENOさんのブログを見て、感染被害者さんが、解決法を見つけることができますように。
See you !
良い年でありますように^^)
ありがとうございます。
親切に色々教えてくれて、本当に助かりました。
もしも、教えて頂かなかったら、ずっとウイルスに感染したパソコンを使い続けていたと考えると、恐ろしすぎます。無知というのは恐ろしいものですね・・・
ともあれ、怖い事もすんで、これから良い年になりそうですb
crara06さんにとっても良い年でありますように。
添付ファイル実行したらブルー画面になり再起動しましがだめでした?
やはり、処置処は、再インストールしかないですか?
そのため、起動できない場合は、再インストールをするしか対処手段がないかと思われます。
力になれず、すみません。
悲しいさん同様、ブルースクリーンに・・・。
半ばあきらめていましたが、Nortonのブータブルリカバリーツールで駆除できました。
https://security.symantec.com/nbrt/nbrt.aspx?NUCLANG=ja-jp&lcid=1033
お使いのPCを光学ディスクorUSB起動できれば、たぶんこれで駆除できると思います。
(ちなみに私は1つだけでは少し不安でしたので、その後でESET・カスペルスキーのレスキューディスクも試しましたが、特にウイルス検知はしませんでした。)
それでも、正常起動したあとで、できればNorton以外のセキュリティソフトを使ってウイルススキャンされてください。
皆さんもお試しください。
症状としては、OUTLOOKとWORDソフトが、起動後にカーソルを置くと突然にプログラム終了してしまう。
これが、無くなりました。
完全に、治ったかは様子見です。
厄介なウイルスとのことで、不具合現象が修正されても、潜んでいると詳しい方が、書かれていますね。ところでこの手のウイルスは、USB経由で他へ感染するものなのでしょうか。詳しい方、ご教授ください。