今朝のお話。
とりあえずの対処法は下の方に書いた。
他の参考になるリンク:
Skype Support Network
【注意喚起】短縮URLを受け取った際は注意しましょう
E Hacking News
http://www.ehackingnews.com/2012/10/skype-spam-abuse-google-url-shortner-trojan.html
ITライフハック
http://itlifehack.jp/archives/7499057.html
最近流行ってるSkypeウィルスを綺麗さっぱり消すバッチファイル
http://kuku.neko2.net/?num=2793
「lol is this your new profile pic? http://goo.gl/*****?img=SkypeID」
の様なチャットが送られてくる、そのURL。
リンク先はhotfile.comに繋がってます。
[skype_06102012_image.zip] ZIPファイル
CRC:EEE433DB
MD5:017F6AB61294A36A2BAA334B7A5A6ACC
これを解凍すると
[skype_06102012_image.exe]
CRC:A1E9103B
MD5:E8E2BA08F9AFF27EED45DAA8DBDE6159
UDS:DangerousObject.Multi.Generic検出
https://www.virustotal.com/file/2434753231f391a1f97d75c48db48fd6641879760c4f69d04274195ae6e999b4/analysis/1349586985/
ちなみに今回のSkypeAPIを利用したウイルスは現在「Kaspersky」「G-DATA」「AhnLab-V3」「BitDefender」「DrWeb」「Fortinet」「Ikarus」「Panda」などでウイルスとして検出可能となっています。
10/8午前現在
各セキュリティソフトが徐々に検出可能になりました。
これは各社の対応スピードが実際に現れた結果になりました。
私が最初に存在を確認した10/7 6:30頃に
カスペルスキーは既に、悪意のあるソフトだと判断してくれました。
カスペルスキー 2013 30日無償試用版
http://www.kasperskystore.jp/trial/2013/kis.html
skype_06102012_image.exeを実行すると、数秒でこのファイルが消えます。
バックグラウンドでIEが起動しました、プロセス上。
後は本体どこに隠れんぼしてるかな・・・と。
作業の前に、SkypeとIEを閉じます。
[%AppData%]を開くために、
キーボードのWindowsボタン(押すとスタートメニューが出るやつ)
を押しながら、 [R]キーを押します。
[ファイル名を指定して実行]画面に、 %AppData% と打ち、[OK]を押す
普通は存在しない[Tluuun.exe]というファイルが有りましたとさ。
ただランダム文字の可能性があるので、名前が違う可能性有り。
exeファイルは複数存在してる可能性が高いそうです
隠しファイル・フォルダは表示出来る設定にすると吉。
Windows の隠しファイルや隠しフォルダーを表示する方法
同時に一番下位にある、[保護されたオペレーティング システム ファイルを表示しない(推奨)]
もチェック外すとシステム属性のファイルも見る事が出来ます。
とりあえず、これを消しましょう。
スパイウエア動作をしてたら心配なので、除去後パスワード変更もお勧め。
SkypeAPIの設定をいじって、同じ名前のコントロールが存在する場合は
拒否しちゃいましょう!
━━━━━━━━━━━━━━━━━━━━━━━━━━
/(^o^)\ナンテコッタイ日本語版
ブログコメントより。
----
ちょっとこれはあなたの新しいプロフィールの写真ですか?
bit.ly/Q4PJwi?img=SkypeID
リンク先は英語版と同じくhotfile.comです。
----
[Skype_image.zip] ZIPファイル
CRC:12A73627
MD595592FBF1579049A76ADB0D5C75C2ABA
これを解凍すると
[DCIM_Skype_000001912389749812509890239498.exe]
CRC:6282C675
MD5:FC7B54092C89C8932522E991053DADE3
簡単になりますが、
コメントで新規・修正などの情報を下さった方々へ、ありがとうございます。
現在時間の余裕が無いので、細かい調べ事は出来ないと思う。
コメントの返事が出来ない状況ですか、時々目通します。
ここの記事内容以上に、種類が増加してるらしいです。
速報としての役目は終えたので、又どこかで会ったらよろしく。
ぐっどらっく。
【スカイプのメッセージ経由におけるウイルスについて】Yahoo!知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1495286074
Skypeで謎の不在着信が多数件
http://blogger.lemonkaju.net/2012/10/skype_10.html
skype_06102012_image.exeで調べててこちらにたどり着きました
返信削除友人が2名ほどやられております・・・
参考までにですがMSSEだと検知不可でした
MSEでは検知不可でしたか・・・追記します。
削除ノートン全く反応しません
返信削除ノートン先生もダメだったか\(^o^)/
削除IEのサイト接続ができなくなりました。
返信削除IEさんポックリしたのか。
削除NTTのセキュリティ対策ツールだめでした
返信削除NTT(´;ω;`)
削除AppDateが隠しフォルダなので普通のひとは表示できないかもしれないですね
返信削除フォルダオプションからの説明があるといいかと思います
現在4人のコンタクトの復旧に追われておりますw
AppDataに関して追記しましたー
削除私も踏んでしまいました・・・
返信削除対応方法ありがとうございます。
助かりました。
助かってよかった。
削除現状までにわかってる範囲でまとめました
返信削除※Skype、ie等ブラウザと関連しているようなのでそれらを終了してから行う
AppDate内のexe削除(複数できている事もあり)
消せないexeもあるかも(消しても復活してくる)
exe削除後さらにSkype「ツール」→「設定」→「詳細」にある
「他のプログラムからのSkypeへのアクセス管理」から
削除したものと同じexeがあったら削除する
ブラウザのアドオンにSkype関連で見覚え無いものあったら削除
念のためSkypeパスワード変更
って感じです
ウィルスバスター、ウイルスセキュリティZEROも検知できずみたいです
Skype、IEを先に閉じた方が良いとの事ですね
削除追記します!
ZIPをダウンロードしたところ
返信削除skype_06102012_image.exe
と明らかに怪しかったので実行はしませんでしたが
DLしただけでもウィルスに感染するのでしょうか?
ZIPを解凍、まではセーフです。
削除exeを実行しない方が身のためです。
ありがとうございます。
削除DLしたファイルは消去し、念のため上記の方法で不明な.exeを削除しました。
念のために、
削除セキュリティソフトで完全スキャンすると良いかも!
時間かかると思うので、今夜寝る時に動かしてみるのも手。
不明なexeファイルがあるのなら感染してるんじゃ…
削除僕ははじめっから気付いてたので、
返信削除大丈夫でした!!^^
助ける側になってあげて。
削除てめえが感染してねえことなんて誰も聞いてねーんだよ
削除感染した人のことを考えろよ
できそこない中学生君
彼はADHDっていう発達障害の疑いがある
削除だから何を言っても無駄
初期情報ありがとうでした
返信削除現状コンタクト6人復帰完了しました
何度か書き込みもさせていただきましたが
初期情報あっての事です
助かりました
6人復帰おめでとうございます!
削除個人的なメモのつもりが、ここまで発展するとは
思ってなかったので驚きです。
解凍はしましたが、skype_06102012_image.exe自体は実行しなかったのですが、スパム感染の恐れってありますかね?
返信削除ちなみAppData内にTluuun.exe やそれに類似したファイルはありませんでした。
前のコメントに書きましたが
削除ZIPを解凍、まではセーフです。
返信ありがとうございます、前のコメントを見ないでコメントしてしまい、申し訳ありません。
削除情報拡散してきます!
無事ならめでたし!
削除情報ありがとうございました!
削除対処経過報告します。踏んだ直後 スカイプアンイスト → [%AppData%]で確認すると4とかBとか4Cというexe発見 → すべて削除して再起動 → 再度出現 → カスペで完全スキャン3度実行 → トロイ関係発見 → 指示により処理 → 別PCからスカイプ起動の上、パス変更。→ 該当PCにスカイプ再度インスト で現在稼動中・・・・OS入れ替えと思って処理に対応したが現時点で異常なし。このサイト、大変参考になりました。有難うございました。なお情報拡散のためムドメ書き込みしました。
返信削除スキャン時に発見されたリストなどを書いておくと良いのではないでしょうか。
削除後に私も友人のパソコンを見たときに初めて、
削除報告の様な複数のexeを見ました。
追記します。
イロイロ情報を見つけていて見つけたのですが、これの亜種ではないでしょうか?
返信削除http://about-threats.trendmicro.com/Malware.aspx?id=21558&name=TROJ_AGENT.SMP5&language=jp
これによると
%appdata%\Microsoft\Dr Watson
を作成するようです。
上記のスクリーンショットで、Tluuun.exeとMicrosoftの更新日時が近いので気になりました。
以前にもあったような悪質ウエアですもんね・・・
削除感染動向の速さを期待して放ったのでしょうかね。
skype_06102012_image のフォルダが削除できません。PCは素人なので削除の仕方がよくわかりません。上のやり方でを行ったのですが、Tluuun.exeというファイルがありません。更新日時で探してもありません・・・。skypeもアンインストールしました。フォルダはどうすれば削除できるのでしょうか?
返信削除もしPCに詳しい友人さんが居れば頼んでください。
削除一人で対処する時、少し知識をつける必要が有るかもしれません。
例えばWindowsをセーフモードで起動してください
パソコンの製造元の起動画面(例えばToshiba・Sony・Lenovoなど)
が出た時、Windowsの起動画面が出る前に
キーボードのF8キーを押してください(ゆっくり連打でも)
起動方法を選択できる画面が出ます
セーフモードは、最低限の状態でWindowsを起動できるモードです
この状態で消えないファイル・フォルダを消すことが出来るかもしれません。
ウイルスバスターでも検知不能でした
返信削除10月7日 23時31分
削除ウイルスバスターさん未対応でしたか・・・
私自身はほとんどスカイプを使っていないのですが
返信削除(コンタクトも一人くらい)
知り合いに多数スカイプを活用している人がいます。
自分のブログで、ニュースになっている記事のURLを貼りました。
(こちらのブログにもその記事から来ました)
結構、大事ですよね、これ…。
昼間にスマホのアプリから個人情報が流出しているという記事を見た後で
夜にこのニュースを見たので驚いています。
恐ろしいです。
削除今回の悪質ウエアのURLを押してダウンロード、
ZIPを解凍、中にある実行ファイルを実行してしまった。
という人が沢山居る事になるので
ウイルスを知らないと押してしまうのでしょうか・・・
知らずにskype_06102012_image.exeを開いてしまいましたが、Microsoft Security Essentialsが検知し、内蔵HDDは感染しませんでした。
返信削除しかし、外付けHDDは影響を受けすべてのフォルダがシステム属性+隠しフォルダ属性にされていました。
情報を集めている際、データが消えたというコメントをしていた方もいましたが、隠しフォルダになって見えなくなっているだけの可能性があります
隠しフォルダ表示(win7)
http://policy.jugem.cc/?eid=296
また、システム属性になっているためプロパティでは隠しフォルダを解除できません。
よってコマンドプロンプトでシステム属性、隠しフォルダ属性を解除することになりました。
方法
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1474635419
隠しフォルダと、システムファイルの表示もした方が
削除確認し易いのとの事ですね
追記します!
プロンプト使わなくても、一応、隠し属性を解除できた。
返信削除フォルダからプロパティ→カスタマイズ→アイコンの変更→規定値に戻す→OKボタン
上をやってからもう一度プロパティを開くと解除できるようになってる。
正しいかどうかはわからないけど、一応、参考がまでに。
うちのPC環境で試したけど、隠し属性は変化無かったなあ。
削除ITライフハッカーさんのリンクより。
返信削除コンタクトの人が誤って踏み、拡散されたのを私も踏んでしまったんですが、サイトにあるようにexeファイルが消えたことを不審に思いESETスマートセキュリティで検査してみました。
その結果、「win32/dorkbot.b」というワームを検知し、これはやばいとネットから切断。
まずレジストリエディタを開き、win/currentversion/run以下に怪しいプロセスを確認。appdataフォルダ以下にそのファイル名があったため、削除したが復活、しかしファイル名は変わらなかったのでフェイクの同名exeファイルを作り復活を阻止。
それ以外に、\programfiles\以下にスカイプマークの不思議なexeが3つほどあったので削除。再起動後スキャンをし、検知しなかったので一件落着。
長文ですいませんが、個人的に最適と思った対処法を載せました。しかし、これでは完全な駆除にはなってないのでしょうか・・・
簡単な確認方法は
削除コンタクトの人にメッセージが
届いてないか聞いてみるのがオススメです。
こんばんは。ネット上では情報が錯綜しているようなので知っていることをまとめておきます。
返信削除まず感染についてですが、管理人さんがすでにお書きになられているように送られてきた短縮URLにアクセスしたのみでは感染しません。DLしたファイルを解凍して実行した瞬間に感染します。つまり実行しなければ感染しません。
それからこのマルウェアはdorkbotと呼ばれるものでバックドア機能を有するワームです。拡散手段は既出しなので省きますが、それ以外にも攻撃者サーバーとの悪性通信を確立されます。スカイプのアカウントのみならず、ブラウザ上の入力語句も漏洩する可能性がありますから感染された方はスカイプのアカウント等のパスワードを変更してください。私的に実際に試したところ、以下のような通信がありました。
>エクスプローラ.exe
上記プロセス名で接続サーバーをコロコロと変更している様子がありました。通信状態はいずれも接続待ちでした。
u15403389.onlinehome-server.com
static.131.192.9.176.clients.your-server.de
myserver24.de
s15330816.domainepardefaut.fr
上記のようなサーバーです。このマルウェアは配布ファイルをコロコロと変更させるようですからご注意してください。また感染症状としても全ファイルをロックしてしまうランサムウェアのような挙動を示すプログラムもあるようです。
それから実行ファイルですが、僕のPC環境では実行ファイルが見えませんでした。隠匿されている可能性も否定できません。ただ見えない状態であってもdr.web cureitを用いますと検出可能です。
最後に削除する手段で一つ。実行ファイルの他にレジストリの自動実行の項目に値が登録されています。レジストリエディタ等で削除してください。登録される部分は以下です。
1、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
2、HKEY_USERS\固有識別番号\Software\Microsoft\Windows\CurrentVersion\Run
1のほうは他のサイトでも指摘されていますが、2のほうは書かれていませんでした。2のほうも削除してください。
以上まとめですが、結論を申しますとリカバリしたほうが良い事案ともいえます。バックドア機能を有している点、ランサムウェアと同様の挙動を示すことがある点、隠匿ということで万一、ルートキットが絡んでいると駆除は非常に困難といわざるえない点ですね。
それから余談ですが、サイトによってはシステムの復元での解決を推奨する記述を見ますが、システムの復元では解決できません。どうかしないことをお勧めしておきます。
以上です、失礼いたしました。
はじめまして。
返信削除スマホからこのスパムを踏んでしまったのですが、どんな影響があるのでしょうか?
パソコンとか全然詳しくないです。教えてください。
確認したいのなら、コンタクトの人に
削除「変なURL載った文が届いてなかった?」
などと、聞いてみてばいいと思いますが。
スマホではexeの拡張子は開けないと思うので
スマホ本体にあるのかと思いますが
そこにもなかったらダウンロード自体してないかと思います!
URLを踏んだだけでは何もなりませんよ
URL踏んで→ダウンロードされる→そのダウンロードしたやつを開く
そうするとコンタクトの人たちに
メッセージが届くようになっていると思いますが
詳しくはわかりませんので生搾りさんに!
コンタクトの人に確認したら何もきてないよと言われました!!!
削除よかったです(T . T)
返信助かりました!ありがとうございました。
ソースのウイルスは
返信削除「lol is this your new profile pic?」
というような英語表記であったが
日本語で
「これはあなたの写真ですか」
のような表記がされるものも出回っている模様
現在、「lol is this your new profile pic?」は削除されているようです。
返信削除しかし、新たに日本語版が出てきてるようです。
---
ちょっとこれはあなたの新しいプロフィールの写真ですか?
bit.ly/Q4PJwi?img=SkypeID
---
となっています。
リンク先は英語版と同じくhotfile.comです。
英語版に引っかかった同じやつから回ってきて、笑うしかないw
追記です。
削除英語版ではウイルスと認識するベンダーの中にも日本語版は認識できないものが多数あるようです。
https://www.virustotal.com/file/f9b277bd7689aab265cbe2b435fc392e420a10f789ae79f373beb984204dfa48/analysis/
昨晩感染し、ウイルス駆除できた者(Win7ユーザー)です。
返信削除対処法は出回っているようなので補足を。
・削除対象は「フォルダ」でないもの。英数字ランダムのファイルとスカイプのロゴ(水色のマーク)は全て削除です。英数字ランダムは複数存在する可能性有(私は2つありました)
・一部削除できないファイルはスカイプをOFFにしてPCを再起動。立ち上がったらスカイプをOFFにしたまま再びファイルを削除してみてください。
【※削除したファイルはごみ箱の中に残っているのでそちらも完全に削除して下さい】
削除出来たらskypeの[ツール]⇒[設定]⇒[詳細]の一番下に[他のプログラムからのskypeへのアクセス管理]⇒削除した英数字と同じ名前のものを全て削除⇒[OK]を押す。
念の為、再びPCを再起動して「appdata」内に削除した英数字ファイルが復活していないか確認してください。
もしダメだった場合。
↓
下記のソフトをインストールしてスキャンすると完全に消えるそうです。
http://www.kasperskystore.jp/trial/2011/kis2012.html
駆除後に友人から教わったため自分では確認できていません。
はじめまして、はじめてここに書き込みます。
返信削除えっと俺も踏んでしまって…一度は直ったのですが
一日たつとインターネットが開けなくなってて
「Internet Explorer ではこのページは表示できません」
というページに飛ばされます。
いまは「セーフモードとネットワーク」で開き書き込んでます。
何か対処法あるのでしょうか?
本当に困ってます…情報をよろしくお願いします。
やっぱりKaspersky最強ですわ
返信削除http://hotfile.com/ がファイル削除したみたいですね。
返信削除ひとまずこれ以上の被害者が出ないので安心ですねww
こんばんは、はじめまして。今回のスカイプでのマルウェア拡散の件、これ以上の拡散を防止するためにも知っていることをここに書かせていただきます。
返信削除今回のマルウェアの挙動や駆除については以下にまとめておきました。自分が実際に検証した結果なので、他の感染者の方では異なる場合もあると思います。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1495286074
この件に対していろいろな情報がネット上にて見受けられていますが、作成されるファイルやレジストリ値は一つではありません。自分が検証した範囲では以下の場所にも作成が見受けられています。
C:\Users\アカウント\Application Data
HKEY_USERS\固有識別番号\Software\Microsoft\Windows\CurrentVersion\Run
削除を行う際は十分にご注意ください。駆除ツールについては現状、kasupersuky removal toolがよく対応していると考えます。
結論から申しますと今回のマルウェアについてはリカバリも視野に入れてほしいということです。
1、バックドア機能を有している
2、感染プログラムによって症状が異なり、ランサムウェア的な症状が見られるということ
3、実行ファイル等、隠匿症状が見られrootkitが絡んでいる可能性が否定できないということ
上記の理由によりです。また感染中、通信をモニタリングしているとエクスプローラ.exeが頻繁に接続サーバーを変更しながら通信を試みているという状況がありました。
さて最後に別の御投稿者の方の中で外付けHDDが隠し属性化されるというコメントを拝見しました。この症状はsmart HDDに代表されるfake avにも見受けられる症状です。
修復方法を記載しておきます。
1、スタート→すべてのプログラム→アクセサリ→ファイル名を指定して実行をクリックします。
2、起動画面にcmdと入力してコマンドプロンプトを起動します。
3、黒い画面が表示されたら・・・・
attrib -h "C:\*.*" /s /d
↑
なおCの部分を隠し属性化ドライブの割り当て文字に変更して入力してください。
以上です。これ以上の感染防止を切に願っております。
iPhone5で踏んだずら。
返信削除対処法なくて終わった^q^
外付けHDDの修復方法を試してみたら、「システムファイルは再設定できません」と出たのですが、その場合はもう打つ手無しですかね?
返信削除appdata内のアプリケーションを全部削除したのに勝手にまた送ったので感染する前に復元しました
返信削除ほかのサイトではこれで元に戻ったらしいのでしばらく様子見です
初です
返信削除このスパムの影響かどうかわからないのですが
見知らぬ不在着信 しかも日付がバラバラで最近に表示されたとの報告が会議チャットで多数
そして自分も同じことがあったのですがこれはスパム影響ですか