雑記 > 無料ウイルス対策 > PowerShell

PR 国内メーカー東芝の直販 − 4万円台からノートPC安い!

PowerShell悪用ウイルスを無料対策で感染防止 メール添付ファイルに注意

PowerShell is an automation platform and scripting language for Windows and Windows Server that allows you to simplify the management of your systems. Unlike other text-based shells, PowerShell harnesses the power of the .NET Framework, providing rich objects and a massive set of built-in functionality for taking control of your Windows environments.
https://msdn.microsoft.com/en-us/powershell

Windows 7/8/10 に実装されてるスクリプト実行環境 Windows PowerShell を悪用し、一般ユーザーが使うWindowsパソコンにマルウェアを感染させる攻撃手口が確認されてます。 (´o`;

PowerShellとは?
PowerShell は Windows と Windows Server 向けの自動化環境やスクリプト言語で、システムの管理を簡素化できます。他のテキストベースの Shell と異なり、PowerShell は .NET Framework の機能を活用して豊富なオブジェクトと Windows 環境を制御する多数の組み込み機能を提供します。

PowerShell 悪用ウイルスの手口と事例

PowerShell の悪用は世界中のWindowsユーザーを無差別に狙って ランサムウェア(身代金ウイルス) を感染 させる場面や、日本人を広く狙って ネットバンキング不正送金ウイルス を感染させる攻撃キャペーンでも採用されてます。

その手口の1つは 迷惑メールの添付ファイル として受け取った 不正なファイル をユーザーにダブルクリックで開かせるもので、実行ファイル powershell.exe外部ネットワークからウイルス本体データをダウンロードする役目 を担います。

PowerShell悪用のファイル形式
スクリプトファイル
拡張子 .js .jse .vbs .wsf
powershell.exe
Officeファイル+マクロ
拡張子 .doc .docm .xls
ショートカット
拡張子 (.lnk
HTMLアプリケーション
拡張子 .hta
ヘルプファイル
拡張子 .chm

PowerShell のコマンドが記述されたスクリプトファイル(拡張子 .ps1) を開かせる場面はなく、ユーザーの目に見えない裏側で powershell.exe がシレッと動くだけなので PowerShell が悪用されてることに通常気づけません。

Windows PowerShellパワーシェル悪用! ウイルス感染攻撃手口と被害防止回避する無料セキュリティ対策をファイアウォールで
黒い画面コマンドプロンプトの次世代版 Windows PowerShell

ファイアウォールでウイルス対策

この攻撃を効果的に防ぎ感染失敗させるには、『怪しいメールを開くな!』 といった精神論ではなく セキュリティソフトに実装されてるファイアウォール無料Windowsファイアウォール の活用です。

PowerShell悪用でネットバンキング不正送金ウイルスやランサムウェア身代金要求ウイルスの被害 無料Malware Windows Firewall感染防止
セキュリティが強化された Windows ファイアウォール で powershell.exe をブロック

具体的にファイアウォールのアウトバウンド(送信側)で実行ファイル powershell.exe の通信をあらかじめブロックするよう設定しておくだけでOKです。 (^o^)b<手っ取り早く実現できるウイルス対策♪

  1. ファイルの拡張子は表示しないと危険? 設定変更はウイルスメール対策効果も
  2. js/jse/wsf/vbs拡張子でウイルス感染 無料対策でメール添付ファイル被害防止
  3. docm/doc/xlsm/xls拡張子でウイルス感染 無料対策でメール添付ファイル被害防止
  4. ランサムウェア対策に有効 ファイアウォール設定でメール添付ファイル被害防止

動作確認

Windows の コマンドプロンプト を起動して、次のパラメータをコピペしエンターキーを押します。

処理の内容はサンプルドメイン example.com に接続してダウンロードし、その内容をテキストファイル 「powershell-download-test.txt」 としてWindowsのデスクトップに保存します。

cmd /c powershell(new-object System.Net.Webclient).DownloadFile('http://example.com/','%USERPROFILE%\Desktop\powershell-download-test.txt')

ファイアウォールで通信ブロックしてない開放状態だと何ら確認場面なくテキストファイルがシレッと作成される一方、正常に通信ブロックできてる場合はエラー 『リモート サーバーに接続できません。』 になります。

ファイアウォールでPowerShell悪用ウイルスの感染被害防止対策 ファイルダウンロード動作確認
PowerShell.exe の通信が正常にブロックされてる場合のエラー

PR 《Yahoo!ショッピング特集》 Tポイントが抽選で当たる無料ポイントくじも!

キーワードφ(..)メモメモ
[PowerShell ウイルス 対策] [PowerShell マルウェア] [PowerShell ウイルス 実例] [ファイアウォール ウイルス 設定] [PowerShell 危険性] [PowerShell 拡張子] [無料 ランサムウェア 対策] [ウイルスメール 対策] [メール 添付ファイル 対策] [wsf 拡張子 ウイルス] [js 拡張子 ウイルス] [ショートカット ウイルス 手口] [doc 拡張子 ウイルス] …

オンラインスキャン | 動画脅迫詐欺 | ネット通販詐欺 | サポート詐欺 | ランサムウェア対策 | 迷惑ソフト一覧

雑記 > 無料ウイルス対策 > PowerShell


Copyright © 2016 Let's Emu!. All rights reserved.