お知らせ

【お勧めします】
そのまますべてのPCで当てはまるかどうかは不明ですが、「手元のWin7機で通常のアップデートに長時間ようする環境」で検証した結果、KBナンバーが判明している場合にはupdateカタログからダウンロード後に手動で導入すると短時間で終了するようです。

来る12/9の定例アップデートはロールアップですから数は少ないので手動で更新しても手間は最小と思われますので「確認がいつまでも終了しない」という方はぜひお試しください。

なお、注意点がありますのでWinUp2016/12分の記事もご覧ください。

旧館からの記事移動開始のお知らせ
2016/12/11より、旧ブログ「自作PCの道楽」(はてなダイアリー)から「自作PCの道楽新館」への記事の移動を開始しました。

◎ フォーローしてね! WinUP情報や不具合情報追加を、ツイッター・フェイスブック・Google+でお知らせしていますのでご利用ください。

保護中記事のパスワードについて 記事の自己検閲によるパスワード保護の開始についてを読み了承の上閲覧される方は「5525」を入力してくださいね。

サイト内検索:カテゴリなど一部詳細情報はページ最下部もご覧ください





【感染注意】危ない!!!日本郵政Rovnixメール

この記事を読むのに必要な時間は約 10 分15秒です。

キーワード:メール、感染、日本郵政、Rovnixメール、「MBR,VBR」領域への感染可能性

◎最終更新日 2016/3/21

更新履歴
2016/3/12 初版
2016/3/21 別の深刻な事例を追加(必ず読んでほしい重篤な情報です)

結論要約
2016/1中旬より話題となっていますが、日本郵政を騙ったRovnixメールの感染事例が止まらないらしいとMSコミュニティーで質問する場合は「捨てアカウント」を推奨 のコメント欄でcrara06さんより情報提供がありましたのでいまさらながら記事化します。。

ファイル履歴-障害00104

◎ 画像はマカフィーリブセーフです。

マイクロソフトセキュリティーエッセンシャルやWin8.1/10のディフェンダーは基本的な防御ではほぼ問題はないのですがこのようなメール経由の攻撃などに対する防御機能がもともとありません。十分に注意してくださいね。

  広告




お歳暮に迷ったらこれ!

対象機材/OS/ソフト
Windows OS全般

対象読者
全読者、特に防御機能の限られたセキュリティーソフトをご使用の方。

・本文

2016/3/21…crara06sさんより深刻な事例の追加がコメント欄によせられ、大手ウェブサイト上の広告から数万人規模でマルウェア感染が広がるを記事下部に追加しました。(必ず読んでほしい重篤な情報です)

深刻ですなあ。これ「誰でも」感染、陥落するリスクある事案ですよ。
ーーーーーーーーーーーーーーーー
PC側に脆弱性があれば、狙われて陥落します
Exploitキットというのは、こっち側のPCの内部を「隅々まで解析」する解析ツールが「てんこ盛り」に盛り込まれた脆弱性scan詰め合わせセットを意味しているのです。

つまり「こっちのPCが」scanされているわけ。そして「お!こいつのPCはFlashが旧バージョンのままであり脆弱性を抱え込んでいるじゃん!やったぁー」と解析されてしまえば、その脆弱性に見合った「感染方法」で合理的に感染させられPCは陥落。あとは「遠隔操作」されちまって、攻撃者の思うがまま。
今回は申し訳ありませんが、(私自身はこの案件に正直詳しくないため)記事本文はcrara06さんが2016/1/12にヤフー知恵袋に投稿した「★日本郵政Rovnixメール残念なことにRovnixメ…」の引用を内容とさせていただきます。

なお、crara06さんはヤフー知恵袋においてこのカテゴリの「カテゴリマスター」です。

MBRなどへの感染の可能性もあり、ウイルス自体も改善・機能強化?されますので引用記事の内容を(少なくとも)頭の隅に入れておくなど十分な注意をお願いします。

なお、疑問点などコメント欄に書き込んでくださるとcrara06さんからアドバイスがもらえるのではないかと思います。

上記より画像以外の全文を引用:

★日本郵政Rovnixメール残念なことにRovnixメールに添付されていたマルウエアは1回、あるいは2回程度実行するとC&Cサーバーとの更新がまったくもって不可能となり、
Rovnixは一切検知されなくなってしまう。普段使いの通信回線とはまったく異なる環境(PCも含め)で、再度チャレンジでもしない限り、簡単には本来感染はできないと見ている。

しかし、せっかくなので検体を現実環境で感染させて観察してみると、なるほどと思う部分がある。


プロセスインジェクションという手法で感染が行われているという点。

comodo FWのHIPSで観察していると、sel77.exeは「explorer.exe」を呼び出している。そこでcmdからtasklistにて出力してみると

iexplore.exe 4540 Console 1 194,260 K
VSSVC.exe 5296 Services 0 16,780 K
svchost.exe 2744 Services 0 8,152 K
explorer.exe 6804 Console 1 37,200 K
ProcessHacker.exe 2384 Console 1 21,080 K
explorer.exe 4624 Console 1 7,760 K
procexp.exe 5156 Console 1 31,808 K
SearchProtocolHost.exe 4256 Services 0 9,800 K
SearchFilterHost.exe 5532 Services 0 9,096 K

複数のexplorer.exeが起動していることがわかる。そこでProcess Explorerを起動しさらに観察すると

\日本郵政 螳・・逡ェ蜿キ_06012015_EMS^^0847767\” が起動していることがわかる。しかし、sel77.exeが呼び出していた「explorer.exe」は、これではなかったのである。

Process Explorerでさらに眺めていると正体不明のexplorer.exeがいる。そこでプロパティを見てみると、詳細が不明の上「エラー」表示がなされており、userを見ると「access denied」という処理がなされている。これはおかしい。そこで「Kill process」をすると、その処理を拒否されてしまう。しかしProcess Explorerでは、これ以上の詳細を知ることができないのである。そこでプロセスハッカーを使うことにした。

プロセスハッカーの「tool」タブを選択して「非表示のプロセス」を選び、さらに画面左下の「CSRハンドル」というボタンのプルダウンメニューから「Brute Force」を選択してからscanすると、出た!

いくつかの怪しいプロセスの中に、先ほどのアクセス拒否されているexplorer.exeがリストアップされていた。「間違いないな、これだ」(explorer.exe 4624 Console 1 7,760 K←これがプロセスインジェクションされていたプロセスだった)

日本郵政Rovnixメールは「プロセスインジェクション」という手法を採用していたことが分かった。
explorer.exeはWindowsの正規のプロセスだから、これをヤドカリすることはFWをバイパスできるという意味である。logをパッと見ただけでは、見落としてしまうなあ、、、、、。

このプロセスインジェクションの背後では、実際は、以下のような感染活動が行われていたわけだ
Trojan.Dropper, HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|AOMEI, C:\Users\crara6 gay unko\AppData\Roaming\ttvgevur\bcbctria.exe, , [045ae2569009b6803527f8a848bcfb05]
(MBAMのlogから)


logを見ると「AOMEI」と表記してあり爆笑するが、この部分はFirefoxであったりintelだったりと感染ごとに変化している。おいらは感染実験機にはFirefoxはインストールしていないのですぐにlogを見ていんちきだと気がついたが、AOMEIはバックアッパーとして偶然インストールしていたので、これには関心したというか、なんというか?

ーーーーーー
質問

さて。この日本郵政Rovnix(ファミリー)メールの恐ろしい部分のひとつは「MBR,VBR」領域への感染可能性だと思うが、その対策は、皆さん、どうされておりますか?

https://www.fireeye.com/company/press-releases/2015/12/thriving-bey…

大変な時代になりましたなあ、、、、

 

 

======== 以下解決手法例です =========

この件につき、crara06さんが解決手法を寄せてくださいました。煩雑というか難しいと感じられる方もいらっしゃるかもしれませんが「セキュリティーを強化したい」という方は是非参考にしてくださいね。

なお、一部記事本文としては不適切と思われる表現がありますが「お意見としてそのまま掲載」しました。利害関係者等より削除・訂正の依頼があった場合は、速やかに善処いたしますのでお知らせください。

また、記事の一部をブログ主文責で修正しています。

日本郵政ウイルスメール爆弾や、ランサムウェア(Cryptowall4.0、Lockyなどですよね)は、結論からいえば「ウイルス対策ソフト」ではブロックできません。とても太刀打ちできないんです。Rovnixなど亜種が(改良されて)ばら撒かれ、被害者が発生した直後に、亜種RovnixをVirustotalに送信してscanしても、ほとんどの有名ウイルス対策ソフトvendorは検知できません。惨憺たる有様です。この間、感染してしまった被害者達に訊きとり調査をしてみると(vendorを誹謗中傷する目的はありませんので、読者の皆さん、客観的情報として受け止めてくださいね)

A:King soft internet security+マイクロソフトfirewallという組み合わせ
B:トレンドマイクロのウイルスバスター+ファイアウォールチューナーoffという組み合わせ
(結局、マイクロソフトのファイアウォールを組み合わせたのと同じ。ブログ主脚注:トレンドマイクロさんのせっかくの付加機能を使用しない場合ということです。

全滅しているんです。これは結局、「Anti-Virus機能がRovnix亜種を検知できない」ことと、ファイアウォール機能のHIPSが有効になっていない事が「悪い意味で相乗効果」を発揮し、あっという間の感染になってしまう、ということなのです。

ーーーーーーーーーーーー
今、対策として一番簡単な方法は、これでしょう

Reboot Restore Rx

実はReboot Restore Rxを使えば、今、話題になっているマイクロソフトのWin10無謀アップグレードも、阻止できます。

うっかりとWin10のアップグレードが始まり、アップグレード行為を阻止できなかったとしてもPCを再起動すると「Win10アップグレード以前」の状態にタイムマシーン(Roll back)してくれるからです。

またReboot Restore Rxは「MBR領域」まで保護しているので、Rovnixに感染した場合であってもMBRも保護されているのでPCを再起動すれば、MBR感染も「無かった」ことにしてもらえます。

*電机本舗さんの

フォーエバーセキュリティ

HDDへの書き込みを許さないのですから、これも非常におすすめです。

=====

ある程度、skillがある場合は
sandboxie

ネットサーフィンは仮想化されたIEや、Firefoxでアクセスし、メールZIPの開封と実行も仮想化環境下で行えば良いわけで、RovnixもCryptowall4.0も、現状完全に封じ込めています。

上記が一番簡単な方法だと思うんですね。そして簡単な方法論が、一番userに負担がなく、良いことなのです。

=====

それから外付けHDDを1個、用意しておき


EaseUS Todo Backup Home 9
(有料版)

EaseUS Todo Backup Free (Free版でも十分です。窓の杜さんのページです。)

無感染のHDD状態を「丸ごと」外付けHDDに保存しておきましょう。そうすれば、万が一の感染の場合であっても外付けHDDに保存しておいたHDDのバックアップイメージから、復元できます。

さらにいえば、マイクロソフトウイルスと揶揄されている暴力的Win10アップグレードウイルスに感染して「ある日突然、オラのWin8.1がWin10になっていた」としても、外付けHDDに保存されているバックアップイメージから完全な状態でWin8.1に復元できますんで。

この掲示板にアクセスしてくださった閲覧者の皆さん。せめて、この程度の「自衛」は、やりましょうよ。

なんでもマイクロソフトに「お任せ」は、ダメですよ、ダメ。だってその「マイクロソフト」自体が、PCウイルスのようなものなんだから。

 

2016/3/21追加(必ず読んでほしい重篤な情報です)

一部引用:(2016/3/16の記事です)

・セキュリティ上の脆弱性を攻撃するためのプログラム「エクスプロイトコード」をパッケージ化し、最新の脆弱性への攻撃プログラムなどを随時追加することで、さまざまな攻撃が仕掛けられるようになっているプログラムを「エクスプロイトキット(Exploit Kit)」と呼びます。そのエクスプロイトキットを駆使した大規模な攻撃が実行されていたことが2016年3月14日に判明しました。攻撃の内容は、アメリカの大手ニュースサイトなどに配信されたインターネット広告からリダイレクトでエクスプロイトキットをダウンロードさせるというもので、ダウンロード後はマルウェアを自動でダウンロードされてしまう模様です。

 

・大手ウェブサイトに表示されたインターネット広告を使ってAngler Exploit Kitをダウンロードさせるという攻撃では、直近24時間だけでアメリカ国内の数万人ものインターネットユーザーが被害にあったと推測されています。

セキュリティソフト開発のトレンドマイクロによると、この悪意のある広告は訪問者の多いウェブサイトで使用されているアドネットワークから配信されているもので、トレンドマイクロがこの事実を公表した2016年3月14日の時点ではまだ悪意のある広告が配信されており、これらの広告を閲覧したユーザーのPCに自動でマルウェアがダウンロードされる危険性があると警告しています。

 

・トレンドマイクロの研究員は「私の分析では、一度ページを読み込んで悪意のある広告を表示してしまうと、広告が自動で2つの悪意のあるサーバーにリダイレクトして、ユーザーのPCにAngler Exploit kitをダウンロードしてしまう」と語っています。


人気ブログランキングへ

    Windows 10 のブルースクリーンとドライバ由来の再起動ループを予防!

    A800009
    Windows 10 レスキューキット

    A800010
    プチフリバスター Duo drive (Ver.5)

    厄介なブルースクリーンエラー、BAD_POOL_HEADER (0x19)、DPC_WATCHDOG_VIOLATION(0x133)の回避機能を実装。

    および、高速スタートアップで問題となる外付けディスクのファイル消失問題を完全解決。外付けディスクを危険から保護します。

    初心者向けにWindows10の障害対策機能を装備。Windows10を使っていて感じるイライラをすっきり解消します 。

    【Windows 10 】ブルースクリーンエラー0x133, 0x19【10秒ルール問題の解決法は???】
    ソフト開発者さんのインタビュー記事です。

    About comments

    申し訳ありませんが、日本語のコメントのみを承認しています。 Sorry, only for Japan to approve. 죄송 하지만 일본어 코멘트를 승인 하 고 있습니다. 抱歉,只为日本批准。 عذراً، فقط لليابان الموافقة.

    3件のコメント

    • crara06

      日本郵政を語るメールに Rovnix が添付されていて Microsoft Safety Scanner で駆除しました。これで安全と言えるのでしょうか?

      深刻ですねえ。「企業」ですよ感染が。しかも、少なくとも社長以下4名が開封実行しているRovnix.トレンドマイクロの判断ではブート感染=MBR感染です。最悪の結末。根本的には電机本舗さんのtoolや、Reboot Restore RxでMBRまで保護していないと、解決できない。

      本件は企業PC感染事案であり、最初から4台が感染。数日経過。深刻な事態に発展しているかもしれませんね。

    • crara06

      ささやかですが、電机本舗さんのsoftwareを紹介してゆくことにしました。1999円支払えば、サポートもしてもらえるわけで、これなら企業でIT担当がいない小規模会社でも、救われるのでは?

      UTMだのバカ高い価格の割には日本郵政メール爆弾阻止できないんだから、UTMなんかやめて、電机さんのsoftwareをインストールしたほうが良いと思いますねえ。

    • crara06

      http://ore-sama123.bbs.fc2.com/ 
      URLを紹介するのを忘れました(藁)

    コメントを残す