【感染注意】危ない!!!日本郵政Rovnixメール

ステマ規制に関する表示

  当サイトでは、記事本文やサイドバー等に以下が設置されています。御理解の上サイトを利用ください。 1)アフィリエイト広告リンク 2)プロモーション記事 3)記事作成に当たって、販売業者からの提供を受けたハード/ソフト等を使用した記事

この記事を読むのに必要な時間は約 16 分です。

キーワード:メール、感染、日本郵政、Rovnixメール、「MBR,VBR」領域への感染可能性

◎最終更新日 2016/3/21

更新履歴
2016/3/12 初版
2016/3/21 別の深刻な事例を追加(必ず読んでほしい重篤な情報です)

結論要約
2016/1中旬より話題となっていますが、日本郵政を騙ったRovnixメールの感染事例が止まらないらしいとMSコミュニティーで質問する場合は「捨てアカウント」を推奨 のコメント欄でcrara06さんより情報提供がありましたのでいまさらながら記事化します。。

ファイル履歴-障害00104

◎ 画像はマカフィーリブセーフです。

マイクロソフトセキュリティーエッセンシャルやWin8.1/10のディフェンダーは基本的な防御ではほぼ問題はないのですがこのようなメール経由の攻撃などに対する防御機能がもともとありません。十分に注意してくださいね。

対象機材/OS/ソフト
Windows OS全般

対象読者
全読者、特に防御機能の限られたセキュリティーソフトをご使用の方。

・本文

2016/3/21…crara06sさんより深刻な事例の追加がコメント欄によせられ、大手ウェブサイト上の広告から数万人規模でマルウェア感染が広がるを記事下部に追加しました。(必ず読んでほしい重篤な情報です)

深刻ですなあ。これ「誰でも」感染、陥落するリスクある事案ですよ。
ーーーーーーーーーーーーーーーー
PC側に脆弱性があれば、狙われて陥落します
Exploitキットというのは、こっち側のPCの内部を「隅々まで解析」する解析ツールが「てんこ盛り」に盛り込まれた脆弱性scan詰め合わせセットを意味しているのです。

つまり「こっちのPCが」scanされているわけ。そして「お!こいつのPCはFlashが旧バージョンのままであり脆弱性を抱え込んでいるじゃん!やったぁー」と解析されてしまえば、その脆弱性に見合った「感染方法」で合理的に感染させられPCは陥落。あとは「遠隔操作」されちまって、攻撃者の思うがまま。
今回は申し訳ありませんが、(私自身はこの案件に正直詳しくないため)記事本文はcrara06さんが2016/1/12にヤフー知恵袋に投稿した「★日本郵政Rovnixメール残念なことにRovnixメ…」の引用を内容とさせていただきます。

なお、crara06さんはヤフー知恵袋においてこのカテゴリの「カテゴリマスター」です。

MBRなどへの感染の可能性もあり、ウイルス自体も改善・機能強化?されますので引用記事の内容を(少なくとも)頭の隅に入れておくなど十分な注意をお願いします。

なお、疑問点などコメント欄に書き込んでくださるとcrara06さんからアドバイスがもらえるのではないかと思います。

上記より画像以外の全文を引用:

★日本郵政Rovnixメール残念なことにRovnixメールに添付されていたマルウエアは1回、あるいは2回程度実行するとC&Cサーバーとの更新がまったくもって不可能となり、
Rovnixは一切検知されなくなってしまう。普段使いの通信回線とはまったく異なる環境(PCも含め)で、再度チャレンジでもしない限り、簡単には本来感染はできないと見ている。

しかし、せっかくなので検体を現実環境で感染させて観察してみると、なるほどと思う部分がある。


プロセスインジェクションという手法で感染が行われているという点。

comodo FWのHIPSで観察していると、sel77.exeは「explorer.exe」を呼び出している。そこでcmdからtasklistにて出力してみると

iexplore.exe 4540 Console 1 194,260 K
VSSVC.exe 5296 Services 0 16,780 K
svchost.exe 2744 Services 0 8,152 K
explorer.exe 6804 Console 1 37,200 K
ProcessHacker.exe 2384 Console 1 21,080 K
explorer.exe 4624 Console 1 7,760 K
procexp.exe 5156 Console 1 31,808 K
SearchProtocolHost.exe 4256 Services 0 9,800 K
SearchFilterHost.exe 5532 Services 0 9,096 K

複数のexplorer.exeが起動していることがわかる。そこでProcess Explorerを起動しさらに観察すると

\日本郵政 螳・・逡ェ蜿キ_06012015_EMS^^0847767\” が起動していることがわかる。しかし、sel77.exeが呼び出していた「explorer.exe」は、これではなかったのである。

Process Explorerでさらに眺めていると正体不明のexplorer.exeがいる。そこでプロパティを見てみると、詳細が不明の上「エラー」表示がなされており、userを見ると「access denied」という処理がなされている。これはおかしい。そこで「Kill process」をすると、その処理を拒否されてしまう。しかしProcess Explorerでは、これ以上の詳細を知ることができないのである。そこでプロセスハッカーを使うことにした。

プロセスハッカーの「tool」タブを選択して「非表示のプロセス」を選び、さらに画面左下の「CSRハンドル」というボタンのプルダウンメニューから「Brute Force」を選択してからscanすると、出た!

いくつかの怪しいプロセスの中に、先ほどのアクセス拒否されているexplorer.exeがリストアップされていた。「間違いないな、これだ」(explorer.exe 4624 Console 1 7,760 K←これがプロセスインジェクションされていたプロセスだった)

日本郵政Rovnixメールは「プロセスインジェクション」という手法を採用していたことが分かった。
explorer.exeはWindowsの正規のプロセスだから、これをヤドカリすることはFWをバイパスできるという意味である。logをパッと見ただけでは、見落としてしまうなあ、、、、、。

このプロセスインジェクションの背後では、実際は、以下のような感染活動が行われていたわけだ
Trojan.Dropper, HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|AOMEI, C:\Users\crara6 gay unko\AppData\Roaming\ttvgevur\bcbctria.exe, , [045ae2569009b6803527f8a848bcfb05]
(MBAMのlogから)


logを見ると「AOMEI」と表記してあり爆笑するが、この部分はFirefoxであったりintelだったりと感染ごとに変化している。おいらは感染実験機にはFirefoxはインストールしていないのですぐにlogを見ていんちきだと気がついたが、AOMEIはバックアッパーとして偶然インストールしていたので、これには関心したというか、なんというか?

ーーーーーー
質問

さて。この日本郵政Rovnix(ファミリー)メールの恐ろしい部分のひとつは「MBR,VBR」領域への感染可能性だと思うが、その対策は、皆さん、どうされておりますか?

https://www.fireeye.com/company/press-releases/2015/12/thriving-bey…

大変な時代になりましたなあ、、、、

 

 

======== 以下解決手法例です =========

この件につき、crara06さんが解決手法を寄せてくださいました。煩雑というか難しいと感じられる方もいらっしゃるかもしれませんが「セキュリティーを強化したい」という方は是非参考にしてくださいね。

なお、一部記事本文としては不適切と思われる表現がありますが「お意見としてそのまま掲載」しました。利害関係者等より削除・訂正の依頼があった場合は、速やかに善処いたしますのでお知らせください。

また、記事の一部をブログ主文責で修正しています。

日本郵政ウイルスメール爆弾や、ランサムウェア(Cryptowall4.0、Lockyなどですよね)は、結論からいえば「ウイルス対策ソフト」ではブロックできません。とても太刀打ちできないんです。Rovnixなど亜種が(改良されて)ばら撒かれ、被害者が発生した直後に、亜種RovnixをVirustotalに送信してscanしても、ほとんどの有名ウイルス対策ソフトvendorは検知できません。惨憺たる有様です。この間、感染してしまった被害者達に訊きとり調査をしてみると(vendorを誹謗中傷する目的はありませんので、読者の皆さん、客観的情報として受け止めてくださいね)

A:King soft internet security+マイクロソフトfirewallという組み合わせ
B:トレンドマイクロのウイルスバスター+ファイアウォールチューナーoffという組み合わせ
(結局、マイクロソフトのファイアウォールを組み合わせたのと同じ。ブログ主脚注:トレンドマイクロさんのせっかくの付加機能を使用しない場合ということです。

全滅しているんです。これは結局、「Anti-Virus機能がRovnix亜種を検知できない」ことと、ファイアウォール機能のHIPSが有効になっていない事が「悪い意味で相乗効果」を発揮し、あっという間の感染になってしまう、ということなのです。

ーーーーーーーーーーーー
今、対策として一番簡単な方法は、これでしょう

Reboot Restore Rx

実はReboot Restore Rxを使えば、今、話題になっているマイクロソフトのWin10無謀アップグレードも、阻止できます。

うっかりとWin10のアップグレードが始まり、アップグレード行為を阻止できなかったとしてもPCを再起動すると「Win10アップグレード以前」の状態にタイムマシーン(Roll back)してくれるからです。

またReboot Restore Rxは「MBR領域」まで保護しているので、Rovnixに感染した場合であってもMBRも保護されているのでPCを再起動すれば、MBR感染も「無かった」ことにしてもらえます。

*電机本舗さんの

フォーエバーセキュリティ

HDDへの書き込みを許さないのですから、これも非常におすすめです。

=====

ある程度、skillがある場合は
sandboxie

ネットサーフィンは仮想化されたIEや、Firefoxでアクセスし、メールZIPの開封と実行も仮想化環境下で行えば良いわけで、RovnixもCryptowall4.0も、現状完全に封じ込めています。

上記が一番簡単な方法だと思うんですね。そして簡単な方法論が、一番userに負担がなく、良いことなのです。

=====

それから外付けHDDを1個、用意しておき


EaseUS Todo Backup Home 9
(有料版)

EaseUS Todo Backup Free (Free版でも十分です。窓の杜さんのページです。)

無感染のHDD状態を「丸ごと」外付けHDDに保存しておきましょう。そうすれば、万が一の感染の場合であっても外付けHDDに保存しておいたHDDのバックアップイメージから、復元できます。

さらにいえば、マイクロソフトウイルスと揶揄されている暴力的Win10アップグレードウイルスに感染して「ある日突然、オラのWin8.1がWin10になっていた」としても、外付けHDDに保存されているバックアップイメージから完全な状態でWin8.1に復元できますんで。

この掲示板にアクセスしてくださった閲覧者の皆さん。せめて、この程度の「自衛」は、やりましょうよ。

なんでもマイクロソフトに「お任せ」は、ダメですよ、ダメ。だってその「マイクロソフト」自体が、PCウイルスのようなものなんだから。

EaseUS Todo Backup日本語公式ページ

 

2016/3/21追加(必ず読んでほしい重篤な情報です)

一部引用:(2016/3/16の記事です)

・セキュリティ上の脆弱性を攻撃するためのプログラム「エクスプロイトコード」をパッケージ化し、最新の脆弱性への攻撃プログラムなどを随時追加することで、さまざまな攻撃が仕掛けられるようになっているプログラムを「エクスプロイトキット(Exploit Kit)」と呼びます。そのエクスプロイトキットを駆使した大規模な攻撃が実行されていたことが2016年3月14日に判明しました。攻撃の内容は、アメリカの大手ニュースサイトなどに配信されたインターネット広告からリダイレクトでエクスプロイトキットをダウンロードさせるというもので、ダウンロード後はマルウェアを自動でダウンロードされてしまう模様です。

 

・大手ウェブサイトに表示されたインターネット広告を使ってAngler Exploit Kitをダウンロードさせるという攻撃では、直近24時間だけでアメリカ国内の数万人ものインターネットユーザーが被害にあったと推測されています。

セキュリティソフト開発のトレンドマイクロによると、この悪意のある広告は訪問者の多いウェブサイトで使用されているアドネットワークから配信されているもので、トレンドマイクロがこの事実を公表した2016年3月14日の時点ではまだ悪意のある広告が配信されており、これらの広告を閲覧したユーザーのPCに自動でマルウェアがダウンロードされる危険性があると警告しています。

 

・トレンドマイクロの研究員は「私の分析では、一度ページを読み込んで悪意のある広告を表示してしまうと、広告が自動で2つの悪意のあるサーバーにリダイレクトして、ユーザーのPCにAngler Exploit kitをダウンロードしてしまう」と語っています。

人気ブログランキングへ

4 Responses to “【感染注意】危ない!!!日本郵政Rovnixメール”

  1. 日本郵政を語るメールに Rovnix が添付されていて Microsoft Safety Scanner で駆除しました。これで安全と言えるのでしょうか?

    深刻ですねえ。「企業」ですよ感染が。しかも、少なくとも社長以下4名が開封実行しているRovnix.トレンドマイクロの判断ではブート感染=MBR感染です。最悪の結末。根本的には電机本舗さんのtoolや、Reboot Restore RxでMBRまで保護していないと、解決できない。

    本件は企業PC感染事案であり、最初から4台が感染。数日経過。深刻な事態に発展しているかもしれませんね。

  2. ささやかですが、電机本舗さんのsoftwareを紹介してゆくことにしました。1999円支払えば、サポートもしてもらえるわけで、これなら企業でIT担当がいない小規模会社でも、救われるのでは?

    UTMだのバカ高い価格の割には日本郵政メール爆弾阻止できないんだから、UTMなんかやめて、電机さんのsoftwareをインストールしたほうが良いと思いますねえ。

  3. お世話になっております。EaseUS SoftwareのTeiと申します。

    御サイト上で弊社の製品をご紹介頂きありがとうございました。
    ちょっとお願いしたいことがございますが、記事中のEaseUS Todo Backupに日本語公式ページをご挿入頂けませんでしょうか。

    http://jp.easeus.com/backup-software/free.html

    お手数をお掛けまして、すみません。
    どうぞよろしくお願い致します。

コメントを残す

CAPTCHA