wisdomパソコンスクール南千里

Wisdomのブログ

未分類

偽装メールに埋め込まれたプログラムの実態

以前皆さんに知ってもらおうと、日本郵政を装ったメールが届いたお話しを記事にしたと思います。
先日そのファイルを開いてしまい、パソコンが使えなくなった方が来られました。

 

 

驚きの白さ!!
画面上に何も表示されない。
とりあえず、パソコン内部を見てみると・・・データは壊されていない模様
デスクトップが表示されず、システムは動いているので、悪さをしているやつを特定すれば・・・

と思いましたが、すごい強力なプログラムの様で、ウイルス対策ソフトを遮断、エクスプローラーの遮断、証明書サービスの遮断、等々、セキュリティー関係がすべて遮断されていました。
これでは何が何だか・・・

少し遠回りですが、何かのヒントになればと思い、以前から解析していたJavaScriptファイルの中身をさらに解析してみました。


偽装メールに添付されていた、JavaScriptファイル

偽装メールに添付されていた、JavaScriptファイル

まず全体を見たところ、なんのこっちゃ分からなかったのですが、「\u0074」??何か見たことあるなと思い

偽装メールに添付されていた、JavaScriptファイル

偽装メールに添付されていた、JavaScriptファイル

まずはそこの部分だけを取り除き

偽装メールに添付されていた、JavaScriptファイル

偽装メールに添付されていた、JavaScriptファイル

その他もろもろいらないところ、通常文字に別けて

偽装メールに添付されていた、JavaScriptファイル

偽装メールに添付されていた、JavaScriptファイル

Unicode-8に変換してみたところ、ヒット!!
これはメールソフトもびっくり、メールソフトは変換前の文字はそのまま読み取るようで、この様に変換作業は行われていないようです。
※Windows 10 標準搭載のディフェンダーではすでに対策れているので、Zipファイルすら開けられなくなっています。

偽装メールに添付されていた、JavaScriptファイル

偽装メールに添付されていた、JavaScriptファイル

少し整理をして、どのプログラムで書き込まれているか、特定・・・
まてよ・・・これ違うプログラムを呼び出しているぞ・・・

偽装メールに添付されていた、JavaScriptファイル

偽装メールに添付されていた、JavaScriptファイル

元の形に戻してみたところ、やはりこのJavaScriptファイルは特定のプログラムをインストール、実行までが書かれていました。
その先はダウンロードされたプログラムが悪さをしているようなので、追跡はここで断念・・・尻尾をつかんだと思ったのにな・・・


ちなみに仮想上のWindows 8で実行したところ、【C:\Windows\Temp】フォルダーにスクリーンセイバーが作られ、それから「exe」ファイルが作られ、勝手に再起動させられたところ

 

お亡くなりになりました。\(^o^)/

 

自動修復さえできない破壊っぷり 笑
これはもう少し情報がほしいですね・・・

営業時間

平日(火曜日~金曜日)

1時間目
12:00~13:00
2時間目
13:00~14:00
3時間目
14:00~15:00
4時間目
15:00~16:00
休憩
16:00~17:00
5時間目
17:00~18:00
6時間目
18:00~19:00
7時間目
19:00~20:00

土曜日

1時間目
10:00~11:00
2時間目
11:00~12:00
3時間目
12:00~13:00
休憩
13:00~14:00
4時間目
14:00~15:00
5時間目
15:00~16:00
6時間目
16:00~17:00

※定休日:日曜・月曜・祝日・祭日

アクセス

教室名
Wisdom パソコンスクール 南千里
住所
大阪府吹田市津雲台1-1-30
tonarie南千里 2階
電話番号
06-6872-7705
MAIL
メールフォームはコチラ
営業時間
火曜日 ~ 金曜日12:00 ~ 20:00
土曜日10:00 ~ 17:00
定休日
日・月・祝日
駐車場
420台有料駐車場完備 ※駐車券の発行はしておりません。
アクセス方法
【阪急千里線より】 南千里駅を降りて、tonarie内2階。 豊中方面【御堂筋線より】 桃山台駅を降りて、阪急バスをご利用ください