Virus」カテゴリーアーカイブ

EICARテストファイル

ちょっと思い出したので書いておく。

「EICAR(エイカー)テストファイル」というのは、EICAR というコンピュータウイルスを研究している組織が開発したアンチウイルス (AV) ソフトウェアの応答をテストするためのファイルの名称。

「EICARテスト文字列」と呼ばれる文字をテキストファイルで作り、拡張子を.com(実行形式のファイル)として保存することで作ることが出来る。すると通常のAVソフトはウイルスとして検知する。そのためリアルタイムスキャン機能を持っているソフトが動作しているPCでは作ることすら出来ない。現在ではリアルタイムスキャン機能を持っていないAVソフトは使う意味がない。

その場合はEICARのサイトからダウンロードし、その瞬間にアンチウイルスソフトが検知してくれれば、AVソフトが動作しているという確認が出来る。試しにやってみるといい。

自分で作ってみたい方用に文字列を書いておくので、テキストエディタにコピペして、拡張子を.comで保存すると出来る。あるいは、.txtで保存して、拡張子を.comに変更する。変更した瞬間に検知されればAVソフトは正常に動作しているというわけ。

EICARテスト文字列
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

EICARのサイト http://www.eicar.org/

職場に来たAdobeを騙るメール

職場のメールに来たAdobeからを騙ったメールです。
どうみても明らかにスパムなのですが、まだネット上ではあまり話題になっていません。
Adobeの総合案内に質問が掲載されていますが、まともな回答はないままです。それどころか回答になっていない回答ばかりで笑ってしまいます。いつものことです。この種のネット上の情報は、嘘か意味の無いものがほとんどです。

メールの「詳しくはこちら」のリンク先がAdobeのドメインではなく、tailholes.comのドメインにあるZipファイルで、内容はわかりませんが、明らかに何かを狙ってアクセスさせようとしています。
ブラウザやスマホでメールを見ているとドメインが見えずにアクセスしてしまう可能性が高いですので、ご注意ください。

以下がそのメールの概要です。決してリンクをクリックしないこと。リンク部分はリンクを削除して青字にアンダーラインにしてあります。

以下がメールの内容
——————————-
送信元:Adobe <message@adobe.com>

件名:お支払いが確認できませんでした

Document Cloud のお支払いが確認できませんでした。引き続きサービスをご利用いただくためには、お支払い方法を含むお客様の登録情報をご確認の上、更新をお願いいたします。

お客様のアカウント情報は、下記「アカウントの管理」ボタンから更新いただけます。

アカウントの管理、詳しくはこちら

アカウントを更新することで、引き続きソフトウェアやサービスをご利用いただけます。

今後とも アドビ製品をご愛用いただきますようお願い申し上げます。

Adobe Document Cloud チーム

******************************************************************

Adobe, the Adobe logo, the Adobe PDF logo, and Acrobat are either registered trademarks or trademarks of Adobe Systems Incorporated in the United States and/or other countries. All other trademarks are the property of their respective owners.

(C) 2017 Adobe Systems Incorporated. All rights reserved.

Registered Office: Adobe Systems Software Ireland Limited, 4-6 Riverwalk, Citywest Business Park, Dublin 24, Ireland. Registered number: 344992
申し訳ございませんが、本メールは送信専用です。この製品についてご質問がある場合は、Adobe のラーニングおよびサポートページをご利用ください。Document Cloud アカウントにアクセスするには、「マイプラン」をご覧ください。

——————————-
以上がメールの内容。

バンキングトロージャン

知り合いの会社がやられたということで調べてみたらけっこう話題になってるんですね。
ヤマト運輸からウイルスメールがとか見てたけど気にしていませんでした。
2重の拡張子が付いたファイルなんて開きませんし、ヤマトから圧縮ファイルが送られてくること自体を疑います。

私が言っていることが理解できないようでしたら感染する可能性があります。
このキャノンのページはわかりやすく説明されていますので、ぜひ読んでください。
http://canon-its.jp/eset/malware_info/news/160630_2/

【追記】
正直な話、もっともっと巧妙なフィッシングメールが登場している昨今ですから、この程度のメールに引っかかっていると怖い目を見ますよ。

どうも攻撃型メールについて市が演習を行なっているらしい(笑)

おそらく普通の会社員に比べると何倍ものメールを見てきたであろうが、今まで一度も引っかかったことはない。

どうしてみんな引っかかるんだろう。危険なことを理解していないというより、何が変なのか見分けられないから引っかかるのだと思う。またOutlookを使っていたら最悪だ。この無料ソフト(有料ソフトの付属品?)は危険な部分を見分けにくくできているからだ。Outlookを会社が使わせているとすれば、危険なことになっても文句は言えないだろう。
例の事件でも使われていたメーラーはOutlookだったし、過去の事件でもOutlookExpressかOutlookだった。

リンクのPDFはセキュリティセンターのIPA テクニカルウォッチ「標的型攻撃メールの例と見分け方」だが、Outlookを例にとって、割合わかりやすく見分け方を書いている。
ただ、説明が足りなくて、一般のユーザでは「なぜこのパターンは危ないのか」がわからないと思う。もっとも詳しく書くと読むのが大変だが。

興味があったら一度読んでおいた方がいいかもしれない。
セキュリティ管理者なら読んでユーザに説明することを検討すべきだと思う。
セキュリティセンターのIPA テクニカルウォッチ「標的型攻撃メールの例と見分け方」

PC-Clean

誤検出や意味不明のものを検出するという報告も多いフリーのスパイウエア対策ソフト。

無料のフリーウエアとなっているが、その代償として日本語キーワードによる検索というスパイウエアとは無関係なものをインストールされる。
日本語キーワード検索をインストールさせるために無償のスパイウエア対策ソフトをインストールさせるようにしか見えない。
個人や団体がボランティアで対策ツールを開発・公開するのはわかるが、企業が無償で何かをやるということは裏があると考えるべきである。
無償版を配布し高機能な有償版を買ってもらうなら理解できるが、このソフトは無償版しか存在しないのである。

J-Wordがスパイウエアかという議論もあるが、J-Wordをスパイウエアだと考える人であればこのソフトもスパイウエアに分類するだろう。
誤検出が多い上に不要なものまでインストールされる。
完全にフリーで信頼のおけるSpybotなどのソフトが他にあるのにこれを選ぶ必要ってありますか?

さて、あなたは入れますか?
私は入れません。

SystemDoctor2006は6ヶ国語を用意

SystemDoctor2006のURLの先頭が「jp」となっているので何ヶ国語に対応しているのか調べてみた。
調べたといってもインストールしてみたわけではなく、何カ国分の詐欺ページを用意しているのかを数えてみたのである。
なんと6カ国分あった。
しかし日本語以外のページは”DOWNLOAD NOW”のボタンだけを各国語に変えてあるというお粗末な作りだった。いかに日本語化することで儲かると考えているかがわかる。

どこかのIT関係の雑誌に書かれていたが「日本人は馬鹿だから日本語で書けばだまされる」と思って日本語化しているらしい。
それが正解だというのも悲しいが、これにだまされて駆け込んでくる人が多いのも事実である。
つい最近WinfixerやWinantivirusが話題になっていたはずなのに。。。

日本語対応した偽セキュリティソフトが増えた(^^;

日本語ページでだまそうとする偽セキュリティソフトはいくつかあったが、こんなGIFアニメでだまそうとする詐欺商法まで出てきた。(実際に使われている画像ですが、ただの画像なので見ても安全)

これまでに見つけた偽セキュリティソフトとその発売元

Winsoftware 社
 WinAdBlocker 2005
 WinAntiSpy 2005
 WinAntiSpam 2005
 WinAntiVirus 2005 Pro
 WinContentFilter
 WinDriveCleaner
 WinFirewall
 WinNanny
 WinPopupGuard 2005
 WinPrivacyGuard

DriveCleaner 社
 DriveCleaner 2006

SystemDoctor 社
 SystemDoctor 2006

この中ではDriveCleanerが特に悪質で、ポップアップに見せかけたGIFアニメの画像で「853個の危険なファイル 削除しますか?」で「はい」「いいえ」どちらをクリックしても、「×」などの違うところをクリックしてもダウンロードしようとする。
おまけにパッケージのデザインはPartitionMagicやDriveImageで有名なNetJapan社の色やロゴを真似ている。
どう見ても詐欺である。

以前からあるWinsoftwareとDriveCleanerとSystemDoctorはどうも同じ連中がやっているのではないかと思い調べてみたが確証は得られなかった。
しかし各所の掲示板へのスパム書き込みのURLが同じzaebon.comであることや、手口が似ていることを考えると当たらずとも遠からずというところだろう。

これらのソフトのページへ足を踏み込んでしまった時にはインストールしていなくともSpydotでスキャンを行うことをお勧めする。ActiveXを使いレジストリに書き込まれている可能性が高いからである。
またテンポラリにインストーラが置かれている事もある。当然Cookieも残されている。
Spydotでの駆除後に、出来れば自信でレジストリをソフト名で検索し、関連した項目を削除した方が良いと思う。
ただしレジストリの編集は慎重に!

WinAntiVirusPRO2006

img5_59
WinFixerと同じWinSoftware社の偽セキュリティソフト。
フリー版を使わせて嘘の脅威をちらつかせ製品版を購入させようとする。

こんなソフトを信じて買う人がいること自体信じられないが、確かに被害は多いらしい。
もしも買ってしまったらカードは即刻停止すること。インストールしてしまったらアダ被の部屋を参考に削除すること。

アダルトサイト被害対策の部屋

Spybot S&D のダウンロード、インストール、スキャン方法(アダ被の部屋)

Spybotの定義ファイルのアップデートは、Detection updates のファイルをダウンロードすることでも可能。

オンラインアップデートを行うことも出来るが、会社や学校などでユーザ認証を行うProxyサーバを経由している場合には設定が必要。
モードを「高度なモード」にして、「各種設定」-「基本設定」-「オンラインアップデート」-「アップデートサーバへの接続にプロキシを使用」のチェックを入れて設定を行うことで、プロキシによるユーザ認証にも対応できる。

Windows Defender (防御ツール) ベータ 2

Windows Defender (防御ツール) ベータ 2

何をするソフトかというと、スパイウエアの駆除と防御をやってくれる。
この優れもののソフトはマイクロソフト純正。
今はまだベータ2(製品前の試用版)だが製品版になっても無料で提供されるようだ。

私が試してみたのはWinFixerとWhenUだが、どれもインストールされる前に検知してくれた。
WinFixerの方はレジストリに書き込まれたが、インストールを途中で阻止というところか。
ad-awereできれいに消せたのでよしとしよう。
WhenUは完全に阻止できた模様。ad-awereでスキャンしても出てこなかった。
WinAntiVirusも阻止できるか試してみたいが、あれはクレジットカードの番号を入れないとダウンロードできないので試せなかった。
だれか試した人が居たら教えてください(笑)

まあ、今回試したどのソフトも入れてしまう人の方が悪いソフトだから、阻止してくれなくてもど?ってことないんだけどね。
まあ、マイクロソフトには拍手を送りたい。

また?

また情報流出。
ウィニーとは別、シェアに注意…毎日新聞情報流出も?
またと言うよりも、ファイル交換って何に使ってるの?・・・そこを追求しない限りは収束しないということに誰もが気がつかないふり。
明らかに違法ファイルの交換以外に目的は考えられないのに。
どこまでもウイルスによる被害者づらした連中の顔を拝んで見たいものである。
警察が相手で、追求すると記事の情報がもらえない新聞社ばかりではないはずなのだが、どこも追求しない。
そんなに馬鹿揃いの会社ばかり?・・・だったら日本は終わってるよね。
どこかにまともな記事を書ける会社はないのかな???

そういえば、防衛庁がDELLのPCを大量導入するが、国防機密が漏れることに対する危惧はどこにも聞こえないね。
中国の会社のPCをアメリカが買うことにはアメリカ国内で異論が出たらしいけど、日本がアメリカのPCを入れることには問題ないらしい。
所詮は、、、、と言ってしまえるレベルの問題かな。(まあ当たり前か)
ウィニーで漏れるのと同じと言い放ってくれればすっきりするんだけどね。