気がつけば既に210日、プロブロガーになりたい俺が時の中で生きる日々

単身赴任中、持て余した時間の中で何でも書いてます。雑記に近いかも・・・

今日も来たウィルスメ〜ル、この攻撃ラッシュは続く! X2KMについてちょっと調べた。

スポンサーリンク あとで読む

おはようございます。サイト管理者のふぇいやんです。も〜、またですよ。ホント、しつこいっすよね。ここの所、毎日到着していますよ。

 

今日も

ウィルスバスターがもうビンビンに反応!

 いったい何時になったらこの攻撃はおわるんだろうか? 皆さんの所に来ないのですか?

f:id:sek-loso0228:20170517200319j:plain

 

 

何が起こっているのか?

またトレンドマイクロのウィルスバスターが反応しています。脅威を駆除しましたと言うアラートが、私のMacBookPro 15inch Retinaの画面で誇らしげに表示されています。

 

ここの所、また「納品書お送りします」とか「正式注文受理しました」とか言う分けの解らないメールが頻繁に来るなと思っていたんですよ。

 

しかも、必ず来るのはBiglobeメールだけ。何度も言いますが、Biglobeメールだけでなんです。何故かなぁ〜?

 

相変わらずBiglobeメールにこの手のメールが多いのは変わらずですが、お題が変化してきておりますね。

 

Subjectが変わってよりリアルに

今までは「納品書・・・」とか「正式注文・・・」系が多かった。しかし、8月の中旬以降はそれが変わったんだよ。

 

最近の流行りは「公共料金請求書データ送付の件」なんていう題名。こっちの方がより現実味が有るような題名になっている。 しかもですよ、ご丁寧に、公共料金と言う文字の前に、通し番号のような6桁程度の数字が並んでいるんです。

 

これがいかにも本当ですよってな感じを出しているんですよ。

 

 こいつ〜!やるな〜って感じですね。

 

前に来たメールに添付されていたウィルスは、今までのとはちょっと違っていた。初めて見る名前だったのですが、今はもう亜種って感じかな。

 

過去に検出したパターンマッチは青、使徒来襲です・・・じゃなくて、パターンはX2KM_POWMET.CXYFと言うものだったが、いま検出されるのは、X2KM_POWMETまでは同じで、その後が日によって違うな。最近はSMっていうのが多い。

 

ユーザーをイジメて困らせてやろうって考えからSMなのかな?

 

そんな深読みをする自分が恥ずかしい・・・・

f:id:sek-loso0228:20170912203648p:plain

 

流石!直ぐに対応したね

これを検出したんですが、トレンドマイクロジャパンではマッチセずに、検出履歴は無かったのですが、トレンドマイクロUSAではちゃんとマッチしました。

 

流石ですね。

 

中身を見てみると

 このトロイの木馬は、他のマルウェア/グレーウェアや悪意のあるユーザーによってスパムされた電子メールメッセージの添付ファイルとして届きます。それは、他のマルウェアによって落とされたファイルや、悪質なサイトにアクセスしたときにユーザーが知らないうちにダウンロードしたファイルとしてシステムに到着します。

ダウンロードしたファイルを実行します。その結果、ダウンロードしたファイルの悪意のあるルーチンが影響を受けるシステムに表示されます。

これは、Googleさんに自動翻訳してもらった内容です。

www.trendmicro.com

となっておりました。

 

相変わらず古いWindows XpWindows VistaWindows 7を対象にしているようで、最初のパターンマッチは6月1日のようですから、まだ最近発生したウィルスのようです。

 

だからトレンドマイクロジャパンにはなかったのかな? 

7月18日以降はしっかりと掲載されていますね。

 

てことは、俺って最初に貰ったってこと??? あんまり嬉しくないけど、世界的に有名じゃないってことかな?

 

とまあ、マック使いの私に度々Windows用のウィルスが付いたメールが届き、その度にウィルスバスタークラウドがせこせこと駆除してくれております。

 

毎年更新料を払っているウィルスバスターですが、こういうところで機能しているって確認はできますが、あんまり嬉しいことじゃないですよね。

 

今日は新種のウィルスがやって来たと言う話でした。

X2KMとは 【追記】

俺の所に来るのはこのX2KMってのばかりなんだ。ところで、このX2KMってマクロってのは分かるが、一体何もんなんだって事でおさらいを含めちょっとだけ調べてみたさ。

 

そもそも、マクロウィルスっていうのは マイクロソフトのOffice製品の機能として有る、マクロ機能を利用し感染を広げていくタイプのウィルスを言いますよね。

 

この辺の事は皆知ってるよね。

 

Office97くらいまでで物凄く猛威を奮ったので、マイクロソフトはOffice2000から強力に対応策を取ったんです。その成果もあってOffice2000以降はこのマクロウィルスは弱まってきており、最近は殆ど新種もないのだそうだ。

 

マクロウィルスという事で、頭のアルファベットがアプリの種類を表しているようで、これらマクロウィルスの中心はWordとExcelなので、WがWordでXがExcelなのだそうだ。

 

つまり、今回折れの所に毎日のようにやってくるのはX2KWなのでExcel2000ネイティブのマクロウィルスなんだそうだ。他にX97ってのも有るらしいが殆ど最近は聞かないみたいね。

 

XがExcelで2Kは2000って意味だ。今更ながらやっとわかったよ。

 

ちなみに、今度調べようかなと言っていたVIRと言う拡張子なんだけど、これは感染したファイルを実行させないために拡張子を変更すると、そのファイルの拡張子がVIRになるみたい。

 

これはウィルスバスター独自機能なのかな?

 

駆除されたファイルをよくよく観察していくと、凄いことが分かったんだ。

 

1つのxlsファイルが添付されているんだが、それを駆除すると何種類かのxlsファイルに分かれていくんだ。例えば、支払い請求.xlsというファイルを駆除ってすると、1234-01.xlsってな具合のファイルが出て、それを駆除するとまた違う名前が出る。

 

だから、6つも7つも1つのメールから駆除されるようだ。大元のファイルを削除すると全部いっぺんになくなる。

 

つまり、何重にもマクロが組まれているみたいだ。

 

ある意味すげ〜なぁ〜。

 

まとめ 

相変わらず、Windows脆弱性を突いたウィルスが蔓延してるね。毎度の事でExcelのマクロ系が多い。添付ファイルもxlsだもんね。

 

Windowsユーザーのみんなは気をつけてね〜。

 

ちなみに俺んとこにやって来たこのウィルスの添付ファイル名を調べてみたんだ。こんな名前は要注意だな!

invoice_・・・・

EMS_ ・・・・

サービス請求書

請求書(一般)入力・印刷シール

支払伝票 

基本はxlsファイルで中にはVIRと言うファイルも有った。 

 

今度、VIRってのについても調べるよ。分かったら追記するからねぇ〜。

X2KMとはに追記したよ。

 

今日も読みに来ていただきありがとうございます。これに懲りず、また来てくださいね。