てすたんの日記

testa021の日記 TeslaCrypt、ランサムウェア、mp3ウイルス、VVVウイルス、パソコンとかソフトのレビューが多い感じ?

スポンサーリンク

【セキュリティ】オフィスのマクロウイルス、jsスクリプト、PDF偽装、にご注意。添付ファイルには気をつけて。

おはようございます。今日も寒いですね。

暇なのでまたウイルスについて書きました。

 

 

f:id:testa021:20151216061038j:plain

 

今回のアイキャッチ画像は皆さんのお仕事中いつも一緒にいるであろう「office」と「Adobe Reader」をイメージしてみました。

きっとこんな関係ですよね?気を許してるからこそ気をつけたいということです!

 

 

目次

1.オフィスのマクロウイルスについて

夜中にブラブラ眺めてたら、オフィスファイルがやたらUPされてたのでいつも参考にさせていただているサイト、Fireflyさんのブログを見たら既に解説されていました。

 

f:id:testa021:20151216052512j:plain ←こんな奴

 

blogs.yahoo.co.jp



「Invoice」「Payment」とか(インボイスとは請求書とか送り状とかそういう意味らしいです)関連の件名で送ってきて、こいつが添付ファイルにあるようです。

※invoiceだと添付ファイルがついてるのが自然で、なおかつ開かなきゃって思う方が多いんでしょうか?

 

開いてしまうと、外部ネットワークに接続して不正なソフトをインストールされてしまようです。

どうやらランサムウェアやteslacrypt(VVVウイルス)等の類ではないようですが、こういったオフィスのマクロウイルスに感染しないためには今一度オフィスのマクロ設定などが、きちんと会社の求める設定になっているか今一度確認したほうがいいかもしれないですね。

 

 

設定した後に確認したければ以下などを参考に。。。VER的に使えるのかな?

マクロウイルスなんて引っかかるわけないという人ほど試してほしい テスト用のマクロ付きWordファイル|I believe in technology
http://reynotch.blog.fc2.com/blog-entry-1006.html

 

 

対策についても書かれてらっしゃいます。

blogs.yahoo.co.jp



 

 

 

2.【ランサムウェア】jsスクリプトでvvvウイルス(teslacrypt)感染

既出なのでご存知な方が多いと思いますが、こんな感じのアイコンですね。

f:id:testa021:20151216051833j:plain

ただwindowsで使えるスクリプト言語は一杯あるので、今後違うスクリプト言語を使ってくる可能性もあるんじゃないかなーとか思ってみたり。

結局脆弱性なんかなくてもスクリプトによってダウンロード、実行さえ出来ればいいみたいですね。中身が難読化してあるからか、結構ウイルス対策ソフトで検出出来てないみたいです。

会社で使うパソコンはポリシーでスクリプト言語は禁止にしてしまうのもありなような。

※誰かやり方教えて下さい。

スクリプトの中身

f:id:testa021:20151216053846j:plain

 

ちょっと調べたらApplockerってのがいいんじゃないかと思いましたが、これってEditionが限定されてるみたいなんで家庭や個人での対策にはビミョイですね。もちろん7Ultimateとかだと有効化されてますけど・・・

Windows 7 展開のコツ】AppLocker で標準外アプリケーションの利用を制御する (1) - Windows くらいあんと通信 - Site Home - TechNet Blogs
http://blogs.technet.com/b/wincltjp/archive/2010/06/24/windows-7-applocker-1.aspx

 

 

 

 

3.PDFファイルのようにアイコンを偽装したウイルス

たまにメールの添付ファイルで自己解凍式のexeファイル送って来る人いますけど、これっていやじゃないですか?

これ開いてもしウイルスで感染したら僕の責任になるのかなーとか考えてしまって集中できなくなります。

でもPDFとかだと安心出来ますよね。しかし、アイコンは任意に設定できるものなので、アイコンを見て「これはPDFファイルだから大丈夫だ」とか思わないようにしましょう。これはPDFファイルに見えますが、実際は拡張子がexeのウイルスのようです。

これは検証しましたが、vvvウイルスみたいにファイル暗号化されず、不正ソフトがインストールされたように見えました。よくわからないですわかる方教えて下さい。

言いたいことは「アイコンで判断して安心しちゃだめ」ということです。

拡張子はちゃんと表示しといたほうが良いですね。

 

f:id:testa021:20151216051827j:plain

 

まとめ

この3つのパターンは脆弱性を利用していないヒューマンエラーを狙ったもので、以前書いた記事だと対応出来ないのかな?

セキュリティソフト次第になってしまうのかも(´;ω;`)

ただDefensePlatformならほぼ対応できると思います。

 

 

おわり

詳しい方には今更で、あまり興味ない方には説明不足な感じで申し訳ないですが、こういうのもあるんだなー気をつけとこう程度に見てもらえたら嬉しいです。

 

意見感想大歓迎です。はてブなどしていただけると大変喜びます。