


見るからに怪しいzipファイルが添付されたメールが届きました。
表題も本文も無くてただzipファイルが添付されているだけ。送信元はスウェーデンのストックフォルムです。
From: <geohs@ug.edu.pl>
envelope-from=”geohs@customer.telia.com”
zipファイルを展開すると1.jsが作成され、テキストエディタで開くと下記のようになっていました。
1行のJavaScriptで”var yL=’3c3′;yL+=’3′;yL+=’75’;….”のように細かい文字列を繋ぎあわせてコマンドを生成して最終的にウィルスに感染させるようです。
この1.jsファイル自体を複数のアンチウィルスソフトて検査してもウィルスとして検出しませんでした。
ついでなので実行してみるとWindows DefenderがRansom:Win32/Cerber.A!plockとして検出して隔離してくれました。
Ransom: Win32/Cerber.A!plock – Microsoft
https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/Cerber.A!plock
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
カテゴリ: トロイの木馬 説明: このプログラムは危険であり、攻撃者からのコマンドを実行します。 推奨される操作: このソフトウェアをすぐに削除します。 項目: startup:C:\Users\rootlinks\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\expand.lnk file:C:\Users\rootlinks\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\expand.lnk file:C:\Users\rootlinks\AppData\Roaming\{BB667F6F-04E7-D8E0-F557-66B6DCC02FBF}\expand.exe screensaver:HKCU@S-1-5-21-3081595142-1285304509-1785565549-1001\CONTROL PANEL\DESKTOP\\SCRNSAVE.EXE autorun:HKCU@S-1-5-21-3081595142-1285304509-1785565549-1001\SOFTWARE\MICROSOFT\COMMAND PROCESSOR\\AUTORUN runonce:HKCU@S-1-5-21-3081595142-1285304509-1785565549-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\\expand runkey:HKCU@S-1-5-21-3081595142-1285304509-1785565549-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\expand regkey:HKCU@S-1-5-21-3081595142-1285304509-1785565549-1001\CONTROL PANEL\DESKTOP\\SCRNSAVE.EXE regkey:HKCU@S-1-5-21-3081595142-1285304509-1785565549-1001\SOFTWARE\MICROSOFT\COMMAND PROCESSOR\\AUTORUN regkey:HKCU@S-1-5-21-3081595142-1285304509-1785565549-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\\expand regkey:HKCU@S-1-5-21-3081595142-1285304509-1785565549-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\expand この項目について詳細情報をオンラインで参照します。 |
最近はランサムウェアが増加しているようですが、攻撃者もあの手この手を使って攻撃してくるので十分に注意しましょう。