More from: ウィルス

ジョージアからかぁ、、、

最近ユーザーのPCに大量のトロイの木馬入りメールが来るようになった。
タイトルも本文も一見しただけでは取引のメールそのものだし、差出人名も実際にメールのやり取りをしたことのある会社の担当者になっているものもある。
おかしいのは添付ファイル名が文字化けしているくらいなもの。
これなら騙されてしまう人が出ても仕方が無いかと思われる。
送信経路を辿ろうとしてその中の一通を見せて貰い、From行を見ていると最初に発信したデバイスのIPアドレスは”188.129.255.141”となっていた。
ググってみるとホスト名は”host-188-129-255-141.customer.magticom.ge”となっていて、TLDからジョージア(旧呼称グルジア)に割り当てられたアドレスの様だ。
そこからいきなり日本のメールサーバーを経由して来ているらしいところまではすぐに判明した。
一応そのIPアドレスはブロックしたが、まだまだ沢山あるんだよなぁ(汗)。

←クリックしてくれると嬉しいです。

「Emotet(エモテット)」ウイルスだったのか

先だって現場のPCが感染したのは「Emotet(エモテット)」ウイルスらしい。
以前からあったらしいが、昨日辺りから急に報道され始めたウィルスで、件のPCの症状と同じなのでほぼ間違いないと思われる。
駆除は終わって現場に送り返したが、感染したPCのユーザー名を騙ったメールが今も送られてくる。
なんとか止める手立てはないものかなぁ?

←クリックしてくれると嬉しいです。

“mspmailbox”?

先日コンピュータウィルスに感染したPCが手元に届いた。
部下が(完全オフラインの状態で)ウィルススキャンをかけたところ、まずはメモリ上で”mspmailbox.exe”というプログラムが実行中で、これがマルウェアだと判定されプロセスが止められた。
さらにHDD内のスキャンを行うと、同名の実行ファイルが存在し、これも同様にマルウェアと判定された。
このファイルが添付されてきたと思われるメールも発見できたので、これらを完全に消去してWindows起動時に実行されないようにすれば取り敢えず良いかな。

←クリックしてくれると嬉しいです。

ウィルス感染orz

ユーザーのPCの一台がウィルスに感染したらしいとの連絡が来た。
なんでも営業先からのメール(を装ったメール)に添付されていたワードのファイルを開いてしまったとのこと。
その後、PCの動作が重く感じるということと、そのPCのメーラーに設定してある差出人を騙ったメールがそのPCに届いていること(私も確認済み)でほぼ間違いなく観戦しているものと思われる。
そのPCは遠隔地の現場にあるので、直接操作することが出来ないのでどんなウィルスに感染したか特定できない。
なので、私のところまで送って貰って対処することにした。
誤って開いてしまったメールはそのPC以外でも見ることが出来たので、私も見たがこれがよく出来ていて注意しないと本物に見える。
すぐにそのメールの差出人からのメールはブロックするようにしたが、効果は薄いだろうなぁ・・・(汗)。
さてさて、どんなウィルスに感染したことやら・・・・

←クリックしてくれると嬉しいです。

流行に乗らなくてもよいのに・・・

昨日、ユーザーから「怪しいメールの添付ファイルを開いてしまったので、とりあえずLANケーブルを抜いた。」との連絡があった。
すぐに駆け付けてPCの状態を見ると特に異常は無いように見えるし、ファイルが損傷している様子も無いのでランサムウェアの類では無さそう。
開いてしまったというファイル名からググってみると、どうもマルウェアの類らしいがその時点では詳細情報が殆どなく、ウィルス対策ソフトでも検出出来ない。
とりあえず、インストールしてあるウィルス対策ソフトで全HDDのスキャンを始め、ユーザーにはその間PCを使わずに仕事をして貰うことに。
結局、終業時刻までにスキャンも終わらなければ詳細情報も入手出来ず、日を改めて対策するということで昨日は終わった。

今日になって情報を漁ると、銀行系の情報を引き出すマルウェアらしいということで一安心(件のPCでは銀行へのアクセスは全く行わないし、クレジットカード等の情報も全く入っていないため)。
ウィルス対策ソフトも対応されたようで、同様のメール(添付ファイル)は駆除されるようになったので、同じマルウェアへの感染の危険性は減ったと思われる。

それにしてもメール本文の日本語はかなり自然な文章になってきているので、気を付けないと騙される人が出そうだ。

←クリックしてくれると嬉しいです。

最近のSPAMメール

ランサムウェアを含んだ添付ファイルを送り付けて来たSPAMメール。
最近は本文が日本語で、内容もぱっと見ではビジネスメールに見えないこともない。
まぁ突っ込みどころはあるんだけど、それでも引っ掛かる人はいるんだろうなぁ・・・

←クリックしてくれると嬉しいです。

画像を見ただけで感染?

コンピュータウィルスにいろんなタイプがあり、感染経路も様々。
感染経路で多いのは電子メールで、添付されたファイルをクリックして開こうとすると感染するのがポピュラーだ。
最近は送られてきたメールを見ると”○○するにはここをクリック”みたいなリンクがあって、間違ってそこをクリックすると感染するパターンも多い(これだとPCのウィルス対策ソフトに駆除され難い)。
中には特定の画像を見るだけで感染するものもあり、ここ最近はFacebookに投稿された写真が感染源になっているものもあるとか。
これは不正なコードを埋め込んだ画像をFacebook(等のSNS)にアップし、それを見た人が画像をダウンロードしてクリックしたところで感染するという”ImageGate”というもの。
面白そうな記事や画像にありがちな、”続きはこちら”などという煽り文句に乗せられてクリックすると、取り返しがつかないことにもなりかねない(ランサムウェア等に感染するとファイルが改変されて使えなくなってしまう)。
拡張子が”hta、svg、svgz、js”の画像、特にsvgの画像ファイルにはJavascriptの埋め込みが可能なので、面白そうだからと不用意にダウンロードしないほうが良いという警告が出ている。
私のように”自分は大丈夫!”と思っている人ほど危ないかも?(汗)

←クリックしてくれると嬉しいです。

やられたorz

週末だというのに夕方になって職場のPCの一台がウィルスに汚染されてしまった・・・
聞くとメールに添付されてきたzipファイルを誤ってダブルクリックしてしまったとのこと。
電話を切ってすぐに部下を回収に向かわせ、まずは電源を切らせた。
回収してチェックすると案の定感染していたので、駆除と対策に時間を取られることに。
#問題のPCにはウィルス対策ソフトはインストールしてあったが、すり抜けられたらしい。
感染したPCを起動するのは怖いので、HDDを取り出して別PCに接続してチェックをすると、いくつかのファイルが感染していたので削除。
ウィルスの影響でユーザーデータの一部が破損していたが、それはもう諦めて貰うしかない。
幸い他のPCへの拡散は認められなかったので、復旧させたら返すつもり。

よりによって週末の終業30分前に連絡とはねぇ、、、

←クリックしてくれると嬉しいです。

さすがセキュリティソフトと言うべきか?

PC用のセキュリティ対策ソフトで無料のものを試しているが、某kingsソフトの無料版が凄い。
インストールするとIEを含むブラウザの起動に表示されるページが販売元のページに固定され、ブラウザの設定画面で変更が出来なくなる。
またブラウザが記憶している各種パスワードも管理出来るようになっている。
起動時のページの設定はこのセキュリティ対策ソフトの設定画面でロックを外すことが出来るようになっているが、デフォルトではロックされたままなので知らない人はびっくりすると思われる。
しかもそのページが非常に重いので、もしかすると表示の際になにかのソフトを埋め込んでいるのではないかと勘繰りたくなる。
さらに他のセキュリティ対策ソフトがインストールされていると、そのソフトの動作を止めるようになっている。
この機能も設定次第で解除することは出来るが、これも設定画面をこまめに見ないと判らないようになっている。

上記のことからこのソフトから思いつくのは、
・無料だけどブラウザ起動時に強制的に自社サイトを見せて有料版に切り替えさせようとしている。
・またその際にPCになにかを強制的にインストールしている可能性もある(本来はユーザーの許可が必要だけど、そこはシステムを書き換えてたり、他のセキュリティ対策ソフトの動作を止めてスルーしている?)。
・ブラウザが保持しているデータを扱えると言うことはそのデータをどこかに送っているかもしれない(憶測だけど)。
これではまるで一種のマルウェアじゃないか(汗)
さすがKの付く国で開発したソフトだなぁ、いくら無料で高機能でも自分の関係するPCには入れたくないね。

←クリックしてくれると嬉しいです。

ウィルス付きメールが来なくなった、良かった良かった

昨日は大量のウィルス付きメールが来たが、今日の4時頃でぱったりと途絶えた。
ヘッダーを見ると最後のメールのタイムゾーンはJSTで4時頃に発信されたことになっている。
つまりきっちり2/13の24時で止まるようにはなっていなかったということかな。
なんにせよ迷惑なメールが来なくなったのはありがたいことだ。

←クリックしてくれると嬉しいです。