悪夢の再来か?【Adobe】 を騙るスカイプウイルス登場!注意喚起!!

【スポンサーリンク】

皆様、こんばんは。

この時間、東京は外に出ますと雨がポツリポツリと降り始めているようです。

明日から西日本では大雨の予想が発表されているようですから、どうかご注意をお願いしたいと思います。

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

スカイプウイルスに関する注意喚起

さて今回の投稿ですが、ここ最近は沈静化しているかと思われたスカイプ経由のマルウェアが登場したようです。

そこで今回は注意喚起も含め、この新たなスカイプ経由のマルウェアについて記載していきたいと思います。

昨年10月に多数の感染者が発生して以来、スカイプ経由のマルウェア(以後スカイプウイルスと記載)は、感染手段のメッセージや実行ファイルの形態等を変化させ、いまだにスカイプ上で蔓延っています。

今回のスカイプウイルスは、従来の短縮URLを用いた手法でスカイプのメッセージ機能を介して拡散しているようですね。



http://goo.gl/GRMaE?images



スカイプのメッセージ機能を介して送られてくるURLの1例です。このURLを復元しますと以下のようになります。



http://webnartsolution.com/index.html



そして実際に上記のURLにアクセスしますと、以下のファイルをダウンロードすることが出来ます。

skyprvirus

ダウンロードファイル検査結果

今回もあたかも画像ファイルであるかのように装っています。またvirustotalの検査結果を見る限り、昨日の時点では半数以上のセキュリティベンダーが対応できていないという結果でした。

上記の結果を見てもご理解いただけると思いますが、スカイプウイルスをセキュリティソフトで阻止できるという考え方は大変に危険です。くれぐれもご注意ください。

【スポンサーリンク】

検証結果

それでは上記のダウンロードファイルを実際に実行した結果を記載していきたいと思います。



【ダウンロードファイル】

windows-skype-photoalbum.exe

【プロセス】

adbreader.exe

skyprvirus1

【作成されるファイル】

C:\Users\ユーザー名\AppData\Roaming\Adobe

skyprvirus2

【レジストリ】

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] “Adobe Reader Update”=”C:\\Users\\shibuya10911\\AppData\\Roaming\\Adobe\\adbreader.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-2791786279-906618900-656762091-1000] “RefCount”=dword:0000000a

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Adobe Reader Update”=”C:\\Users\\shibuya10911\\AppData\\Roaming\\Adobe\\adbreader.exe”

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “Adobe Reader Update”=”C:\\Users\\shibuya10911\\AppData\\Roaming\\Adobe\\adbreader.exe”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “Adobe Reader Update”=”C:\\Users\\shibuya10911\\AppData\\Roaming\\Adobe\\adbreader.exe”

skypevirus6

【接続先サーバー】

wireless-work.su

skyprvirus3



以上が実際にインストールした際の概要です。なお今回のスカイプウイルスにはもう一つ特徴があります。以下をご覧ください。

skyprvirus4

作成されるファイルの名称がadobeとなっており、adobe関連のフォルダに偽装されています。

またスカイプウイルスの実行ファイルを見るためにPCをセーフモードで起動しましたが、隠しファイルを表示するの設定にしてもセーフモード下で実行ファイルを見ることが出来ません。

実行ファイルを表示するためにはもう一手間かける必要があります。以下の画像をご覧ください。

skypevirus5

保護されたオペレーティングシステムファイルを表示しないの設定を変更する必要があるのです。

さて以上です。皆様、いかがでしょうか?スカイプをお使いの方で、例え知人の方よりメッセージが送られてきたとしてもメッセージ内のURLを安易にクリックしてはいけません。くれぐれもご注意をお願いいたします。

スカイプウイルスに関する削除手順

さてそれでは最後にこのスカイプウイルスを削除した手順を記載していきたいと思います。今回のスカイプウイルスについて調べた限りではルートキットの同時感染は確認できませんでした。

しかしスカイプウイルスは非常に多様な亜種があるようなので、ルートキットの同時感染がないということは言い切れませんのでご注意ください。

それではまず以下のツールをダウンロードしてください。なお以下は直リンクです。

Rougekiller

感染したPCを再起動してセーフモードで起動します。

BIOSの起動画面後(メーカーのロゴが表示される事が多い)から、Windowsロゴが表示される前のタイミングでF8キーを押します。

次に詳細ブートオプション画面でセーフモードを選択しEnterキーを押します。

safe0

セーフモードで起動したら、まずは隠しファイルを表示するの設定と保護されたオペレーティングシステムファイルを表示しないの設定を変更します。

隠しファイルやシステムファイルを表示させる方法

設定が変更できましたら、次にスタート→プログラムとファイルの検索に以下を入力します。



%appdata%



そして検索の結果のRoamingというフォルダをクリックして、表示された画面より以下のフォルダを削除してください。



>adobe



なお上記のフォルダの名称は変化している可能性もありますので、ご自分がスカイプウイルスに感染したと思われる時間を考慮しフォルダを特定してください。

フォルダの削除が完了しましたら、一度PCを再起動して通常起動してします。通常起動後は次にRougekillerを起動します。

skypevirus8

Acceptをクリックします。

skypevirus9

スキャンが終了するまでお待ちください。

skypevirus10

検出項目の削除が終了したら、Rougekillerを閉じてください。

この後は念のためにDr.Web CureIt!でPC内をフルスキャンを行います。

以上でスカイプウイルスの除去作業は終了です。僕の場合、上記方法にてスカイプウイルスの通信プロセスも消失しました。しかしながら何度も書きますが、スカイプウイルスは非常に多様な亜種があるようなので、ルートキットの同時感染がないということは言い切れませんのでご注意ください。

最後にスカイプをお使いの皆様、くれぐれもスカイプウイルスにはご注意ください。

あとがき

さて今回の投稿は以上となります。

今回の投稿で記載する記事以外のマルウェアの対策方法に関連する記事に興味がある方は、ぜひ一度以下のマルウェアの対策方法に関連する記事のまとめを参照してください。


<マルウェアの対策方法に関連する記事のまとめ>

1、URL

マルウェアの対策方法に関連する記事のまとめ


それでは以上です。