FC2ブログ

くわぽんのつれづれ日記

思うが侭、つれづれに書いています。ほぼ、毎日更新中!!

[URSNIF]が[BootKit]を利用?!

ネットバンキングの預貯金を狙ういわゆるバンキングトロジャン「URSNIF」の亜種で
「BootKit」をつかって感染を隠すものが発見されたらしい。

Trendmicroのブログで紹介されている。

「BootKit」は厄介な奴で、Windowsが起動する前にウイルスを起動してしまうため、Windows上のウイルス対策ソフトでは発見・駆除が困難だ。

しかし、今回の「URSNIF」の場合、「BootKit」を使った感染には、少なくとも2つの障壁が存在する。

一つはセキュリティパッチだ。
「BootKit」として感染するためにはシステム権限を奪取しなければいけない。
そのためにWindowsの特権昇格の脆弱性「MS16-135(CVE-2016-7255)」を利用するらしい。
最新のパッチが当たっていれば感染しない。

もう一つはBIOSやUEFIのセキュリティ機能だ。
BiosやUEFIのセキュリティ機能で「MBR(マスターブートレコード)」の書き換えを禁止していれば感染できない。
この機能を持つBIOSは、WindowsなどのOSインストール時のモードと、通常運用時のモードを持っているはずだ。
通常運用時のモードになっていれば「BootKit」は感染できない。

「不審メールを開いてしまって、パッチもあててない(あててるかわからない)、不安だ。」という人は、各セキュリティベンダーが対策ソフトを出している。

カスペルスキーのツールは説明が日本語でわかりやすいかもしれない。

ブートキット(bootkit)を削除する方法


まぁ、感染したら結構厄介なウイルスもいると認識しておくべきでしょう。

では(^^)/~~~
  1. 2017/06/13(火) 13:12:00|
  2. セキュリティBlog
  3. | トラックバック:0
  4. | コメント:0

またまた、不審メールが続々

先週から、断続的にURSNICをダウンロードさせようという不審メールが大量にばらまかれているようです。

送信元は、ボット化された一般の端末らしく、単純に防ぐのは難しそうです。

多くは、「御請求書.xls」など、MS-Excelのファイルのようですが、
JSなど、他の添付ファイルもあるかもしれません。

第1四半期末に「請求書」騙られると開いちゃうかもしれませんが、
「コンテンツの有効化」を行わなければウイルスに感染することはないと思います。

但し、「御請求書.xls」には、ご丁寧に「コンテンツの有効化」をクリックするように指示が書かれています。

巧妙になってきているというのでしょうかね。
  1. 2017/06/08(木) 12:35:00|
  2. セキュリティBlog
  3. | トラックバック:0
  4. | コメント:0

先週末からランサムウェアとスパイウェアでお祭りでした

今日は少し落ち着いていますが、
先週末にから猛威を振るっていたとされる「Wanna Decrypt0r」ですが、
私の周りでの被害のはかなり限定的でした。

メールでの配布が行われていた様子はなく、
インターネットにダイヤルアップやスマホなどのUSB Modem機能で直接つながっている端末や、
PPTPで直接インターネットにつながっている端末だけが被害にあっていたようです。

グローバルアドレスで公開されている端末やサーバだけが攻撃対象だったということでしょう。

ただ、このランサムウェア、
サービスとして自信を登録するようで、ランサムウェアの脅迫画面が出ている状態でUSBメモリーなどをつなぐと、即座に暗号化してきます。

一般的な「Locky」などは、一度暗号化が終わると自信を削除してしまって脅迫文だけを残すのとは対照的な動きです。

対応については、ウイルス対策ソフトメーカがホームページで公開している情報を参考にしましょう。

結構面倒な奴でした。

ではまた(^^)/~~~~
  1. 2017/05/19(金) 13:30:33|
  2. セキュリティBlog
  3. | トラックバック:0
  4. | コメント:0

【注意喚起】ウイルスの報告が複数上がっています。

WannaCryptの報道がなされています。
このランサムウェアは、私が確認した限り、

・メールにウイルスファイルへのリンクが添付されて送られてきて、そこから、ダウンロード&実行して感染するパターンと、

・MS17-010のセキュリティパッチ(3月の月例パッチ)が適用されていない端末に、脆弱性を利用してファイル共有やリモートデスクトップのポート経由で感染するパターンと

2つのパターンがあるようです。

一度、社内ネットワークに入られると、社内のセキュリティパッチが当たっていないWindowsサーバが片っ端からやられるため、急いでパッチを当てたほうがいいです。

また、似たような脆弱性が5月のパッチで提供されているので、5月のパッチも急いで当てましょう。
Windows Defenderの脆弱性は特に急いで適用する必要があります。


昨日からは、「URSNIF」を配布していると思われるスパムメールが大量に観測されています。
「URSNIF」はキーロガー型の情報漏えい機能とネットバンキングを狙った機能を持ったいやな奴です。

POPやSMTPのパスワードも盗んでいる様子が確認されていますので、
ウイルスとして検知・駆除されたら、それだけでは安心せずに、
・Webサービスのパスワード
・メールサーバのパスワード
など、端末で利用しているパスワードは全部変更することをお勧めします。

ふぅ(-o-)
  1. 2017/05/16(火) 13:14:00|
  2. セキュリティBlog
  3. | トラックバック:0
  4. | コメント:0

コンピュータウイルス(マルウェア)を個人的見解で分類してみよう

簡単に分類の方針として、一つのマルウェアが複数の分類に所属することを極力避けましょう。

この記事は思いつきで順次更新していきます。

ではいきます。
※形態による分類
 ┠ファイルに感染する
 ┃┠ EXEに感染する
 ┃┠ 文書ファイルに感染する
 ┃
 ┠自分自身が一個のファイル
 ┃┠ EXE、COMなど実行形式ファイルである
 ┃┠ DLLファイルである
 ┃┠ JSなどスクリプトファイルである
 ┃
 ┠ファイルという形式を持たない
  ┠ レジストリに自信を隠す
  ┠ BIOSに感染する

※挙動による分類
 ┠ いたずらや楽しませることが目的である
 ┃┠ 人を驚かせる
 ┃┠ 歌を歌う
 ┃┠ お礼を言ったりお祝いをしたりする
 ┃
 ┠ 金銭目的である
  ┠ PCの処理能力を不正に利用して換金する
  ┃┠ DDoSボット
  ┃┠ スパムメールボット
  ┃
  ┠ PCから情報を盗んで換金する
  ┠ ユーザを脅迫して金銭を得る
  ┠ ネットバンキング経由で銀行口座からお金を盗む
 
ぬぅ


  1. 2017/04/27(木) 13:30:00|
  2. セキュリティBlog
  3. | トラックバック:0
  4. | コメント:0
前のページ 次のページ

アクセスカウンター

オンラインカウンター

現在の閲覧者数:

プロフィール

くわぽん

Author:くわぽん
くわぽんのブログへようこそ!
気が向いたらコメントください♪

アフィリエイトバナー

広告の中で説明だけ読んでよさそうなものを出しています。
よかったらクリックしてね。
詐欺みたいのがあったら教えてね。

ブロとも申請フォーム

この人とブロともになる

リンク

このブログをリンクに追加する

カテゴリ

D4でモバイル生活 (29)
風来人観察日記 (66)
ゲーマーの独り言 (183)
つれづれ日記 (114)
音楽を持ち歩く (47)
Windows Home Server 管理日記 (95)
Dolce Gustoとの日がな一日 (22)
お篭り部屋構築日記+愚痴 (53)
ウツ(鬱) (99)
未分類 (795)
So-Netの名残 (4)
DNNを使いましょう (26)
コカコーラとのお付き合い (9)
RPGを語る (4)
テレビにパソコン生活 (3)
”使えるねっと”は使える? (12)
Android日記 (4)
再生した地球にて (29)
セキュリティBlog (19)
Cuckoo SandBox (5)

検索フォーム

月別アーカイブ

FC2ブログランキング

FC2Blog Ranking

QRコード

QRコード