ジョッパリ・ワールド

OCNから届いた不吉な手紙?「VAWTRAK」(マルウェア)感染対策とは?

      2016/10/21

vawtrak-kansen

先日 インターネットプロバイダOCN を介して、 警視庁サイバー犯罪対策課 から一通の手紙が届きました。

その内容を要約すると、” あたなのパソコンはインターネットバンキングで不正送金を行う「VAWTRAK」というマルウェアに感染している可能性があり、早急に対策するように “_という内容でした;;

一瞬新種のフィッシング(詐欺)かと思いましたが、OCN公式サイトで同様のアナウンスがあり念の為最低限の対策を実施してみることにしました。

「VAWTRAK」とは?

まず「VAWTRAK」(マルウェア)についてですが、その特徴はオンライン銀行の認証情報を取得し不正送金など実行します。 「VAWTRAK」感染の90%以上が日本 に限定され、約4万4,000台の端末に感染しているそうです。

というか、警視庁サイバー犯罪対策課では” 特定 “した_という強い表現を用いていますので、、、ネットバンキング利用者とくに被害の多い「 ゆうちょダイレクト 」利用者では対策実施が必要だと思います。

「VAWTRAK」(不正アクセス被害)の駆除に関しては、こちらのページが参考になります。

ネットバンキングに係る不正アクセス被害の防止対策について

※警視庁のサイトです。

「VAWTRAK」潜伏場所?

「VAWTRAK」ですが、意外とわかりやすい場所に潜伏しているようです。

Program Data 」フォルダ内に以下のようなファイルが存在する場合は注意が必要です。

<ランダムなファイル名> .dat
<All Users Profile> \Application Data

実は私の環境(win7 Professional)でも、「Program Data」フォルダに” ntuser.dat “というファイルが存在し焦りました;;

しかし”ntuser.dat”は、OSが自動生成するユーザー情報を管理するファイルという事で問題ないものだとわかりました。

仮に感染した「.dat」ファイルが存在する場合、それは実質的な「dll」(実行ファイル)であり「VAWTRAK」本体の可能性が高くなります。

ちなみに 「VAWTRAK」の亜種 で有名なのが以下の3つ。

「BKDR_VAWTRAK.PHY」
「BKDR_VAWTRAK.SM」
「BKDR_VAWTRAK.SMN」

これらは 特定のセキュリティソフト の存在を検知すると、 ユーザー権限を制限する 機能を持つそうです。恐ろしい奴です。

「VAWTRAK」の主な不正活動(バックドア活動でキー操作情報の窃取やスクリーンショットの取得等などブラウザ監視)を援護するような役割を持つのかもしれません;;

「VAWTRAK」対策として、カスペルスキー、シマンテック、トレンドマイクロ ウィルスバスター、マカフィーなどが推奨されています。

avast!からカスペルスキーへ乗り換えしたけど、、、

今回私のPCが 「VAWTRAK」に感染した可能性 があるとのお達しがあり、最低限の対策を実行してみました。

ウイルス対策ソフトの変更

これまでavast!(無料版)を使っていました。これを カスペルスキー(30日体験版) へと変更です。

導入後、完全スキャンを実施してみましたがマルウェアは検出されませんでした?念の為にカスペルスキーが提供している「 TDSSKiller 」などの ウィルス駆除ツール も試してみましたが、こちらも問題ありませんでした?

カスペルスキーでは、「ネット決済保護」という機能がありますが、今回ついでに「 ゆうちょダイレクト 」で推奨されている”PhishWall (フィッシュウォール)”も導入してみました。

インストール後、特にPCが重くなるという弊害もなく、まあまあ快適に動作しています。

カスペルスキーは管理画面が使いやすいので、30日体験版終了のタイミングで有料に切り替えるつもりです。

1年ライセンスで、1台使用であれば4,000円程度で利用できます。5台使用だと1,000円くらい割高になるようですね;;いい商売だな~w

警備員と泥棒が友達じゃないことを祈るばかりです^^;

VAWTRAK感染者特定できた理由?

とりあえずカスペルスキーは私のPCにマルウェアは無い_と断言してくれたとして。

ちなみにどうやって、個人のPCへの感染が特定できたのか?

疑いを含めて_。

この部分について推測した記事がありました。要は警視庁サイバー犯罪対策課をはじめとするセキュリティ関係企業が協力して”ボットネットの指令サーバー(C&Cサーバー)への接触(侵入?)”に成功したという事?_が予想されます。

憶測の域を出ませんが。

指令サーバー(犯人)には、感染PCを遠隔操作するための”カモの情報”があるので直接それらを入手出来る状態にあるという事です。

それがOCNからの通告(手紙)に反映されているわけです。

今回私のように、メールまたは封書にてマルウェア感染の疑いをかけられたユーザーの方は推奨される対策を必ず実施した方がいいと思います。

現状ウィルスソフトの挙動がおかしい? なんて人は尚更です;;

※メール内の誘導リンクは基本クリックしないが鉄則。幸運にもウィルスを駆除できた場合でも、既に変更された設定(レジストリ)が元に戻らない場合があります。

PR 【Yahoo! WiFi】お申し込み・詳細はこちら