安部税理士事務所ブログ

コンピュータウィルス Emotetにご注意を!

とりあえず…確定申告終わりました。

今年は例年になくバタバタしていました。

なんかちょっと脱力感がハンパない感じです…(^^;

事業復活支援金の事前確認やこの確定申告期間で遅れてしまっている法人対応にシフトしなければ…。

 

さて、そんな確定申告期間の真っ只中の2月下旬、「Emotet」ウィルスが添付されたメールが送られてきました。

私が不在の際に届いていたようで、2台のPCが感染していたのを確認しました。

すぐに「EmoCheck」で確認したところ(当時のバージョンは2.1、今現在の最新バージョンは2.11)感染していないとの結果でしたが、感染したと思われるメールアカウントのパスワードを変更した後もメールクライアントが外部サーバーに接続して送信しようとしているとの警告メッセージが出たので、ネットワークから2台のPCを外して隔離しました。(その後当該メールアカウントを削除し、別のアカウントを発行)

 

幸い、サブのPCが2台あったので申告作業はそちらをセットアップして使用できたのでよかったですが…私は2日間くらい自分の作業をストップさせて、対策に奔走しておりました(-_-;

 

今回メールに添付されていたのはパスワード付きのZIPファイル。その後も圧縮されていないxlsやxlsmのファイルが届いていました。(以前はマクロ付きdocファイルが多かったようです)

パスワード付きのzipファイルはセキュリティソフトの検知を抜けてしまう可能性が大きいようです。

ウィルスの実行プログラムもランダムなファイル名と拡張子で保存されます。

感染したPCのウィルスファイル(の場所)は

(A)C/Users/ユーザー名/AppData/Local/ランダムなフォルダ名/ランダムなファイル名.ランダムな拡張子

でした。

このファイルを削除しようとすると、(B)「Microsoft(C)  Resister Serverによってファイルは開かれているため、操作は完了できません。ファイルを閉じてから再実行してください」とのメッセージ。

どうやらレジストリを触らなきゃいけないようで…ちょっとアセリました。

レジストリエディタを開き(私のPC設定の場合<Windows10>Windowsマークの横の検索窓にregeditと入力して開きます)

コンピューター\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  以下にある

「名前」が(A)にあるファイル名と同じものを右クリックして削除。

データの値は

C:\windows\sysWOW64\regsrv32.exe\s”C:\Useres\ユーザー名\Appdata\Local\ランダムなフォルダ名\ランダムなファイル名.ランダムな拡張子

となっているものです。

※レジストリの扱いは慎重に自己責任で。私は専門家に確認して削除しました。

削除した後、もう一度(A)のファイルを削除しようと試みましたが、まだ(B)のメッセージが出ます。

タスクマネージャー(ctrl+shift+esc)を開き、今回の場合は「regsrv32」のタスクを終了させて、正常に(A)のファイルを削除することができました。

更にもうひとつ、今回の場合「C:\ProgramData\」以下に「bbiwjdf.vbs」が作成されていたのでこれも削除しました。

その後セキュリティソフトを走らせて検出しないことを確認しました。

 

このEmotet、差出人が過去にメールのやり取りをした人の名前で受け取るのでやっかいですが、本来の差出人のメールアカウントと違うアカウントで送信されて、添付ファイルがあることに気が付けば(ドメイン等を確認)ウィルス添付メールと判断できると思います。

そのようなメールを受け取った場合はファイルを開かずにメールを完全削除するようにしてください。

 

対策に参考させていただいたページは「bomb_log セキュリティに関するbom」です。

ありがとうございました。

« 前のページに戻る

サイト内検索

最近のコメント

表示できるコメントはありません。
2022年3月
 123456
78910111213
14151617181920
21222324252627
28293031  

安部忍税理士事務所

TEL:0977-26-2560
大分県別府市野口元町3-28
AM9:00〜PM6:00
土日祝休み