2012年10月7日日曜日

猛威を振るってるらしいSkypeのスパム[lol is this your new profile pic?]

2012年10月7日の情報です。

今朝のお話。

とりあえずの対処法は下の方に書いた。

他の参考になるリンク:
Skype Support Network
【注意喚起】短縮URLを受け取った際は注意しましょう

E Hacking News
http://www.ehackingnews.com/2012/10/skype-spam-abuse-google-url-shortner-trojan.html

ITライフハック
http://itlifehack.jp/archives/7499057.html

最近流行ってるSkypeウィルスを綺麗さっぱり消すバッチファイル
http://kuku.neko2.net/?num=2793

「lol is this your new profile pic? http://goo.gl/*****?img=SkypeID」
の様なチャットが送られてくる、そのURL。

リンク先はhotfile.comに繋がってます。

[skype_06102012_image.zip] ZIPファイル
CRC:EEE433DB
MD5:017F6AB61294A36A2BAA334B7A5A6ACC

これを解凍すると
[skype_06102012_image.exe]
CRC:A1E9103B
MD5:E8E2BA08F9AFF27EED45DAA8DBDE6159


UDS:DangerousObject.Multi.Generic検出

https://www.virustotal.com/file/2434753231f391a1f97d75c48db48fd6641879760c4f69d04274195ae6e999b4/analysis/1349586985/

ちなみに今回のSkypeAPIを利用したウイルスは現在「Kaspersky」「G-DATA」「AhnLab-V3」「BitDefender」「DrWeb」「Fortinet」「Ikarus」「Panda」などでウイルスとして検出可能となっています。

 10/8午前現在
各セキュリティソフトが徐々に検出可能になりました。
これは各社の対応スピードが実際に現れた結果になりました。

私が最初に存在を確認した10/7 6:30頃に
カスペルスキーは既に、悪意のあるソフトだと判断してくれました。

カスペルスキー 2013 30日無償試用版
http://www.kasperskystore.jp/trial/2013/kis.html



skype_06102012_image.exeを実行すると、数秒でこのファイルが消えます。
バックグラウンドでIEが起動しました、プロセス上。
後は本体どこに隠れんぼしてるかな・・・と。

作業の前に、SkypeとIEを閉じます。
[%AppData%]を開くために、
キーボードのWindowsボタン(押すとスタートメニューが出るやつ)
を押しながら、 [R]キーを押します。
[ファイル名を指定して実行]画面に、 %AppData% と打ち、[OK]を押す
AppDataのフォルダを見ることができます。


普通は存在しない[Tluuun.exe]というファイルが有りましたとさ。
ただランダム文字の可能性があるので、名前が違う可能性有り
exeファイルは複数存在してる可能性が高いそうです

隠しファイル・フォルダは表示出来る設定にすると吉。
Windows の隠しファイルや隠しフォルダーを表示する方法
同時に一番下位にある、[保護されたオペレーティング システム ファイルを表示しない(推奨)]
もチェック外すとシステム属性のファイルも見る事が出来ます。

とりあえず、これを消しましょう。
スパイウエア動作をしてたら心配なので、除去後パスワード変更もお勧め。

SkypeAPIの設定をいじって、同じ名前のコントロールが存在する場合は
拒否しちゃいましょう!

━━━━━━━━━━━━━━━━━━━━━━━━━━

/(^o^)\ナンテコッタイ日本語版
ブログコメントより。
----
ちょっとこれはあなたの新しいプロフィールの写真ですか?
bit.ly/Q4PJwi?img=SkypeID

リンク先は英語版と同じくhotfile.comです。
----

[Skype_image.zip] ZIPファイル
CRC:12A73627
MD595592FBF1579049A76ADB0D5C75C2ABA

これを解凍すると
[DCIM_Skype_000001912389749812509890239498.exe]
CRC:6282C675
MD5:FC7B54092C89C8932522E991053DADE3



簡単になりますが、
コメントで新規・修正などの情報を下さった方々へ、ありがとうございます。

現在時間の余裕が無いので、細かい調べ事は出来ないと思う。
コメントの返事が出来ない状況ですか、時々目通します。

ここの記事内容以上に、種類が増加してるらしいです。
速報としての役目は終えたので、又どこかで会ったらよろしく。
ぐっどらっく。

【スカイプのメッセージ経由におけるウイルスについて】Yahoo!知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1495286074

Skypeで謎の不在着信が多数件
http://blogger.lemonkaju.net/2012/10/skype_10.html 

63 件のコメント:

  1. skype_06102012_image.exeで調べててこちらにたどり着きました
    友人が2名ほどやられております・・・
    参考までにですがMSSEだと検知不可でした

    返信削除
    返信
    1. MSEでは検知不可でしたか・・・追記します。

      削除
  2. ノートン全く反応しません

    返信削除
    返信
    1. ノートン先生もダメだったか\(^o^)/

      削除
  3. IEのサイト接続ができなくなりました。

    返信削除
  4. NTTのセキュリティ対策ツールだめでした

    返信削除
  5. AppDateが隠しフォルダなので普通のひとは表示できないかもしれないですね
    フォルダオプションからの説明があるといいかと思います
    現在4人のコンタクトの復旧に追われておりますw

    返信削除
    返信
    1. AppDataに関して追記しましたー

      削除
  6. 私も踏んでしまいました・・・ 
    対応方法ありがとうございます。
    助かりました。

    返信削除
  7. 現状までにわかってる範囲でまとめました
    ※Skype、ie等ブラウザと関連しているようなのでそれらを終了してから行う
    AppDate内のexe削除(複数できている事もあり)
    消せないexeもあるかも(消しても復活してくる)
    exe削除後さらにSkype「ツール」→「設定」→「詳細」にある
    「他のプログラムからのSkypeへのアクセス管理」から
    削除したものと同じexeがあったら削除する
    ブラウザのアドオンにSkype関連で見覚え無いものあったら削除
    念のためSkypeパスワード変更
    って感じです

    ウィルスバスター、ウイルスセキュリティZEROも検知できずみたいです

    返信削除
    返信
    1. Skype、IEを先に閉じた方が良いとの事ですね
      追記します!

      削除
  8. ZIPをダウンロードしたところ
    skype_06102012_image.exe
    と明らかに怪しかったので実行はしませんでしたが
    DLしただけでもウィルスに感染するのでしょうか?

    返信削除
    返信
    1. ZIPを解凍、まではセーフです。
      exeを実行しない方が身のためです。

      削除
    2. ありがとうございます。
      DLしたファイルは消去し、念のため上記の方法で不明な.exeを削除しました。

      削除
    3. 念のために、
      セキュリティソフトで完全スキャンすると良いかも!
      時間かかると思うので、今夜寝る時に動かしてみるのも手。

      削除
    4. 不明なexeファイルがあるのなら感染してるんじゃ…

      削除
  9. 僕ははじめっから気付いてたので、
    大丈夫でした!!^^

    返信削除
    返信
    1. 助ける側になってあげて。

      削除
    2. てめえが感染してねえことなんて誰も聞いてねーんだよ
      感染した人のことを考えろよ
      できそこない中学生君

      削除
    3. 彼はADHDっていう発達障害の疑いがある
      だから何を言っても無駄

      削除
  10. 初期情報ありがとうでした
    現状コンタクト6人復帰完了しました
    何度か書き込みもさせていただきましたが
    初期情報あっての事です
    助かりました

    返信削除
    返信
    1. 6人復帰おめでとうございます!
      個人的なメモのつもりが、ここまで発展するとは
      思ってなかったので驚きです。

      削除
  11. 解凍はしましたが、skype_06102012_image.exe自体は実行しなかったのですが、スパム感染の恐れってありますかね?
    ちなみAppData内にTluuun.exe やそれに類似したファイルはありませんでした。

    返信削除
    返信
    1. 前のコメントに書きましたが
      ZIPを解凍、まではセーフです。

      削除
    2. 返信ありがとうございます、前のコメントを見ないでコメントしてしまい、申し訳ありません。
      情報拡散してきます!

      削除
    3. 情報ありがとうございました!

      削除
  12. 対処経過報告します。踏んだ直後 スカイプアンイスト → [%AppData%]で確認すると4とかBとか4Cというexe発見 → すべて削除して再起動 → 再度出現 → カスペで完全スキャン3度実行 → トロイ関係発見 → 指示により処理 → 別PCからスカイプ起動の上、パス変更。→ 該当PCにスカイプ再度インスト で現在稼動中・・・・OS入れ替えと思って処理に対応したが現時点で異常なし。このサイト、大変参考になりました。有難うございました。なお情報拡散のためムドメ書き込みしました。

    返信削除
    返信
    1. スキャン時に発見されたリストなどを書いておくと良いのではないでしょうか。

      削除
    2. 後に私も友人のパソコンを見たときに初めて、
      報告の様な複数のexeを見ました。
      追記します。

      削除
  13. イロイロ情報を見つけていて見つけたのですが、これの亜種ではないでしょうか?
    http://about-threats.trendmicro.com/Malware.aspx?id=21558&name=TROJ_AGENT.SMP5&language=jp

    これによると
    %appdata%\Microsoft\Dr Watson
    を作成するようです。

    上記のスクリーンショットで、Tluuun.exeとMicrosoftの更新日時が近いので気になりました。

    返信削除
    返信
    1. 以前にもあったような悪質ウエアですもんね・・・
      感染動向の速さを期待して放ったのでしょうかね。

      削除
  14. skype_06102012_image のフォルダが削除できません。PCは素人なので削除の仕方がよくわかりません。上のやり方でを行ったのですが、Tluuun.exeというファイルがありません。更新日時で探してもありません・・・。skypeもアンインストールしました。フォルダはどうすれば削除できるのでしょうか?

    返信削除
    返信
    1. もしPCに詳しい友人さんが居れば頼んでください。
      一人で対処する時、少し知識をつける必要が有るかもしれません。

      例えばWindowsをセーフモードで起動してください
      パソコンの製造元の起動画面(例えばToshiba・Sony・Lenovoなど)
      が出た時、Windowsの起動画面が出る前に
      キーボードのF8キーを押してください(ゆっくり連打でも)
      起動方法を選択できる画面が出ます
      セーフモードは、最低限の状態でWindowsを起動できるモードです
      この状態で消えないファイル・フォルダを消すことが出来るかもしれません。

      削除
  15. ウイルスバスターでも検知不能でした

    返信削除
    返信
    1. 10月7日 23時31分
      ウイルスバスターさん未対応でしたか・・・

      削除
  16. 私自身はほとんどスカイプを使っていないのですが
    (コンタクトも一人くらい)
    知り合いに多数スカイプを活用している人がいます。

    自分のブログで、ニュースになっている記事のURLを貼りました。
    (こちらのブログにもその記事から来ました)
    結構、大事ですよね、これ…。

    昼間にスマホのアプリから個人情報が流出しているという記事を見た後で
    夜にこのニュースを見たので驚いています。

    返信削除
    返信
    1. 恐ろしいです。
      今回の悪質ウエアのURLを押してダウンロード、
      ZIPを解凍、中にある実行ファイルを実行してしまった。

      という人が沢山居る事になるので
      ウイルスを知らないと押してしまうのでしょうか・・・

      削除
  17. 知らずにskype_06102012_image.exeを開いてしまいましたが、Microsoft Security Essentialsが検知し、内蔵HDDは感染しませんでした。

    しかし、外付けHDDは影響を受けすべてのフォルダがシステム属性+隠しフォルダ属性にされていました。

    情報を集めている際、データが消えたというコメントをしていた方もいましたが、隠しフォルダになって見えなくなっているだけの可能性があります

    隠しフォルダ表示(win7)
    http://policy.jugem.cc/?eid=296

    また、システム属性になっているためプロパティでは隠しフォルダを解除できません。
    よってコマンドプロンプトでシステム属性、隠しフォルダ属性を解除することになりました。

    方法
    http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1474635419

    返信削除
    返信
    1. 隠しフォルダと、システムファイルの表示もした方が
      確認し易いのとの事ですね
      追記します!

      削除
  18. プロンプト使わなくても、一応、隠し属性を解除できた。

    フォルダからプロパティ→カスタマイズ→アイコンの変更→規定値に戻す→OKボタン

    上をやってからもう一度プロパティを開くと解除できるようになってる。
    正しいかどうかはわからないけど、一応、参考がまでに。

    返信削除
    返信
    1. うちのPC環境で試したけど、隠し属性は変化無かったなあ。

      削除
  19. ITライフハッカーさんのリンクより。
    コンタクトの人が誤って踏み、拡散されたのを私も踏んでしまったんですが、サイトにあるようにexeファイルが消えたことを不審に思いESETスマートセキュリティで検査してみました。
    その結果、「win32/dorkbot.b」というワームを検知し、これはやばいとネットから切断。
    まずレジストリエディタを開き、win/currentversion/run以下に怪しいプロセスを確認。appdataフォルダ以下にそのファイル名があったため、削除したが復活、しかしファイル名は変わらなかったのでフェイクの同名exeファイルを作り復活を阻止。
    それ以外に、\programfiles\以下にスカイプマークの不思議なexeが3つほどあったので削除。再起動後スキャンをし、検知しなかったので一件落着。

    長文ですいませんが、個人的に最適と思った対処法を載せました。しかし、これでは完全な駆除にはなってないのでしょうか・・・

    返信削除
    返信
    1. 簡単な確認方法は
      コンタクトの人にメッセージが
      届いてないか聞いてみるのがオススメです。

      削除
  20. こんばんは。ネット上では情報が錯綜しているようなので知っていることをまとめておきます。

    まず感染についてですが、管理人さんがすでにお書きになられているように送られてきた短縮URLにアクセスしたのみでは感染しません。DLしたファイルを解凍して実行した瞬間に感染します。つまり実行しなければ感染しません。

    それからこのマルウェアはdorkbotと呼ばれるものでバックドア機能を有するワームです。拡散手段は既出しなので省きますが、それ以外にも攻撃者サーバーとの悪性通信を確立されます。スカイプのアカウントのみならず、ブラウザ上の入力語句も漏洩する可能性がありますから感染された方はスカイプのアカウント等のパスワードを変更してください。私的に実際に試したところ、以下のような通信がありました。

    >エクスプローラ.exe

    上記プロセス名で接続サーバーをコロコロと変更している様子がありました。通信状態はいずれも接続待ちでした。

    u15403389.onlinehome-server.com

    static.131.192.9.176.clients.your-server.de

    myserver24.de

    s15330816.domainepardefaut.fr

    上記のようなサーバーです。このマルウェアは配布ファイルをコロコロと変更させるようですからご注意してください。また感染症状としても全ファイルをロックしてしまうランサムウェアのような挙動を示すプログラムもあるようです。

    それから実行ファイルですが、僕のPC環境では実行ファイルが見えませんでした。隠匿されている可能性も否定できません。ただ見えない状態であってもdr.web cureitを用いますと検出可能です。

    最後に削除する手段で一つ。実行ファイルの他にレジストリの自動実行の項目に値が登録されています。レジストリエディタ等で削除してください。登録される部分は以下です。

    1、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    2、HKEY_USERS\固有識別番号\Software\Microsoft\Windows\CurrentVersion\Run

    1のほうは他のサイトでも指摘されていますが、2のほうは書かれていませんでした。2のほうも削除してください。

    以上まとめですが、結論を申しますとリカバリしたほうが良い事案ともいえます。バックドア機能を有している点、ランサムウェアと同様の挙動を示すことがある点、隠匿ということで万一、ルートキットが絡んでいると駆除は非常に困難といわざるえない点ですね。

    それから余談ですが、サイトによってはシステムの復元での解決を推奨する記述を見ますが、システムの復元では解決できません。どうかしないことをお勧めしておきます。

    以上です、失礼いたしました。



    返信削除
  21. はじめまして。

    スマホからこのスパムを踏んでしまったのですが、どんな影響があるのでしょうか?
    パソコンとか全然詳しくないです。教えてください。

    返信削除
    返信
    1. 確認したいのなら、コンタクトの人に
      「変なURL載った文が届いてなかった?」
      などと、聞いてみてばいいと思いますが。

      スマホではexeの拡張子は開けないと思うので
      スマホ本体にあるのかと思いますが

      そこにもなかったらダウンロード自体してないかと思います!

      URLを踏んだだけでは何もなりませんよ
      URL踏んで→ダウンロードされる→そのダウンロードしたやつを開く
      そうするとコンタクトの人たちに
      メッセージが届くようになっていると思いますが

      詳しくはわかりませんので生搾りさんに!

      削除
    2. コンタクトの人に確認したら何もきてないよと言われました!!!

      よかったです(T . T)

      返信助かりました!ありがとうございました。

      削除
  22. ソースのウイルスは
    「lol is this your new profile pic?」
    というような英語表記であったが
    日本語で
    「これはあなたの写真ですか」
    のような表記がされるものも出回っている模様

    返信削除
  23. 現在、「lol is this your new profile pic?」は削除されているようです。

    しかし、新たに日本語版が出てきてるようです。
    ---
    ちょっとこれはあなたの新しいプロフィールの写真ですか?
    bit.ly/Q4PJwi?img=SkypeID
    ---
    となっています。

    リンク先は英語版と同じくhotfile.comです。
    英語版に引っかかった同じやつから回ってきて、笑うしかないw

    返信削除
    返信
    1. 追記です。

      英語版ではウイルスと認識するベンダーの中にも日本語版は認識できないものが多数あるようです。

      https://www.virustotal.com/file/f9b277bd7689aab265cbe2b435fc392e420a10f789ae79f373beb984204dfa48/analysis/

      削除
  24. 昨晩感染し、ウイルス駆除できた者(Win7ユーザー)です。

    対処法は出回っているようなので補足を。

    ・削除対象は「フォルダ」でないもの。英数字ランダムのファイルとスカイプのロゴ(水色のマーク)は全て削除です。英数字ランダムは複数存在する可能性有(私は2つありました)
    ・一部削除できないファイルはスカイプをOFFにしてPCを再起動。立ち上がったらスカイプをOFFにしたまま再びファイルを削除してみてください。

    【※削除したファイルはごみ箱の中に残っているのでそちらも完全に削除して下さい】

    削除出来たらskypeの[ツール]⇒[設定]⇒[詳細]の一番下に[他のプログラムからのskypeへのアクセス管理]⇒削除した英数字と同じ名前のものを全て削除⇒[OK]を押す。

    念の為、再びPCを再起動して「appdata」内に削除した英数字ファイルが復活していないか確認してください。

    もしダメだった場合。



    下記のソフトをインストールしてスキャンすると完全に消えるそうです。

    http://www.kasperskystore.jp/trial/2011/kis2012.html

    駆除後に友人から教わったため自分では確認できていません。

    返信削除
  25. はじめまして、はじめてここに書き込みます。
    えっと俺も踏んでしまって…一度は直ったのですが
    一日たつとインターネットが開けなくなってて
    「Internet Explorer ではこのページは表示できません」
    というページに飛ばされます。
    いまは「セーフモードとネットワーク」で開き書き込んでます。
    何か対処法あるのでしょうか?
    本当に困ってます…情報をよろしくお願いします。

    返信削除
  26. やっぱりKaspersky最強ですわ

    返信削除
  27. http://hotfile.com/ がファイル削除したみたいですね。
    ひとまずこれ以上の被害者が出ないので安心ですねww

    返信削除
  28. こんばんは、はじめまして。今回のスカイプでのマルウェア拡散の件、これ以上の拡散を防止するためにも知っていることをここに書かせていただきます。

    今回のマルウェアの挙動や駆除については以下にまとめておきました。自分が実際に検証した結果なので、他の感染者の方では異なる場合もあると思います。

    http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1495286074

    この件に対していろいろな情報がネット上にて見受けられていますが、作成されるファイルやレジストリ値は一つではありません。自分が検証した範囲では以下の場所にも作成が見受けられています。

    C:\Users\アカウント\Application Data

    HKEY_USERS\固有識別番号\Software\Microsoft\Windows\CurrentVersion\Run

    削除を行う際は十分にご注意ください。駆除ツールについては現状、kasupersuky removal toolがよく対応していると考えます。

    結論から申しますと今回のマルウェアについてはリカバリも視野に入れてほしいということです。

    1、バックドア機能を有している

    2、感染プログラムによって症状が異なり、ランサムウェア的な症状が見られるということ

    3、実行ファイル等、隠匿症状が見られrootkitが絡んでいる可能性が否定できないということ

    上記の理由によりです。また感染中、通信をモニタリングしているとエクスプローラ.exeが頻繁に接続サーバーを変更しながら通信を試みているという状況がありました。

    さて最後に別の御投稿者の方の中で外付けHDDが隠し属性化されるというコメントを拝見しました。この症状はsmart HDDに代表されるfake avにも見受けられる症状です。

    修復方法を記載しておきます。

    1、スタート→すべてのプログラム→アクセサリ→ファイル名を指定して実行をクリックします。

    2、起動画面にcmdと入力してコマンドプロンプトを起動します。

    3、黒い画面が表示されたら・・・・

    attrib -h "C:\*.*" /s /d



    なおCの部分を隠し属性化ドライブの割り当て文字に変更して入力してください。

    以上です。これ以上の感染防止を切に願っております。

    返信削除
  29. iPhone5で踏んだずら。
    対処法なくて終わった^q^

    返信削除
  30. 外付けHDDの修復方法を試してみたら、「システムファイルは再設定できません」と出たのですが、その場合はもう打つ手無しですかね?

    返信削除
  31. appdata内のアプリケーションを全部削除したのに勝手にまた送ったので感染する前に復元しました
    ほかのサイトではこれで元に戻ったらしいのでしばらく様子見です

    返信削除
  32. 初です
    このスパムの影響かどうかわからないのですが
    見知らぬ不在着信 しかも日付がバラバラで最近に表示されたとの報告が会議チャットで多数
    そして自分も同じことがあったのですがこれはスパム影響ですか

    返信削除