雑記 > 無料ウイルス対策 > PowerShell

PR 国内メーカー東芝の直販 − 4万円台からノートPC安い!

PowerShell悪用ウイルスの手口と無料対策 メール添付ファイルに注意

PowerShell is an automation platform and scripting language for Windows and Windows Server that allows you to simplify the management of your systems. Unlike other text-based shells, PowerShell harnesses the power of the .NET Framework, providing rich objects and a massive set of built-in functionality for taking control of your Windows environments.
https://msdn.microsoft.com/en-us/powershell

Windows 7/8/10 に実装されてるスクリプト実行環境 Windows PowerShell を悪用し、一般ユーザーが使うWindowsパソコンにマルウェアを感染させる攻撃手口が確認されてます。 (´o`;

PowerShell とは?
PowerShell は Windows と Windows Server 向けの自動化環境やスクリプト言語で、システムの管理を簡素化できます。他のテキストベースの Shell と異なり、PowerShell は .NET Framework の機能を活用して豊富なオブジェクトと Windows 環境を制御する多数の組み込み機能を提供します。

PowerShell 悪用ウイルスの手口と事例

PowerShell の悪用は世界中のWindowsユーザーを無差別に狙って ランサムウェア(身代金ウイルス) を感染 させる場面や、日本人を広く狙って ネットバンキング不正送金ウイルス を感染させる攻撃キャペーンでも採用されてます。

その攻撃手口の1つが 迷惑メールの添付ファイル として受信する 不正なファイル をWindowsユーザーにダブルクリックで開かせる方法で、マイクロソフト由来の正当な実行ファイル powershell.exe外部ネットワークからウイルス本体データをダウンロードする役目 を担います。

PowerShell悪用のファイル形式
スクリプトファイル
拡張子 .js .jse .vbs .wsf
powershell.exe
Officeファイル+マクロ
拡張子 .doc .docm .xls
ショートカット
拡張子 (.lnk
HTMLアプリケーション
拡張子 .hta
ヘルプファイル
拡張子 .chm

Windowsユーザーの目に見えない裏側で powershell.exe がシレッと動作するだけなので、PowerShell のコマンドが記述されたスクリプトファイル(拡張子 .ps1) を開く場面もないから悪用されてることに通常は気づけません。 (´0`)ノ<セキュリティソフト のスリ抜けも期待できる

Windows PowerShellパワーシェル悪用! ウイルス感染攻撃手口と被害防止回避する無料セキュリティ対策をファイアウォールで
黒い画面コマンドプロンプトの次世代版 Windows PowerShell

ファイアウォールでウイルス対策

この攻撃を効果的に防ぎ感染失敗させるには 『怪しいメールを開くな!』 『不審なファイルを開くな!』 といった精神論ではなく セキュリティソフトに実装されてるファイアウォール無料Windowsファイアウォール を活用します。

PowerShell悪用でネットバンキング不正送金ウイルスやランサムウェア身代金要求ウイルスの被害 無料Malware Windows Firewall感染防止
セキュリティが強化された Windows ファイアウォール で powershell.exe をブロック

具体的にファイアウォールのアウトバウンド(送信側)で実行ファイル powershell.exe の通信をあらかじめブロックするよう設定しておくだけでOKです。 (^o^)b<手っ取り早く実現できるウイルス対策♪

  1. 拡張子は表示しないと危険? 設定変更はウイルスメール対策効果も
  2. js/jse/wsf/vbs拡張子でウイルス感染 無料対策で被害防止
  3. doc/docm/xls/xlsm拡張子でウイルス感染 無料対策で被害防止
  4. ランサムウェア対策に有効 ファイアウォール設定で感染被害防止

動作確認用コード

Windows の コマンドプロンプト を起動して、次のパラメータをコピペしエンターキーを押します。

処理の内容は例示に使うための安全なサンプルドメイン example.com に接続してHTMLファイルをダウンロードし、その内容をデスクトップにテキストファイル 「powershell-download-test.txt」 として保存します。 (^w^)b<危険な処理はなし

cmd /c powershell(new-object System.Net.Webclient).DownloadFile('http://example.com/','%USERPROFILE%\Desktop\powershell-download-test.txt')

ファイアウォールで通信をブロックしておらず開放された状態だと確認場面なくテキストファイルがシレッと作成されるはずで、正常にブロックができてる場合は 『リモート サーバーに接続できません』 エラーになります。

ファイアウォールでPowerShell悪用ウイルス手口にマルウェア感染対策 ファイルのダウンロード動作確認サンプル
powershell.exe の通信が正常にブロックされてる場合のエラー

PR 《Yahoo!ショッピング特集》 Tポイントが抽選で当たる無料ポイントくじも!

キーワードφ(..)メモメモ
[PowerShell ウイルス 対策] [PowerShell マルウェア] [PowerShell ウイルス 実例] [ファイアウォール ウイルス 設定] [PowerShell 危険性] [PowerShell 拡張子] [無料 ランサムウェア 対策] [ウイルスメール 対策] [メール 添付ファイル 対策] [wsf 拡張子 ウイルス] [js 拡張子 ウイルス] [ショートカット ウイルス 手口] [doc 拡張子 ウイルス] [docx 拡張子 ウイルス] [標的型攻撃 ウイルスメール] …

オンラインスキャン | 動画脅迫詐欺 | ネット通販詐欺 | サポート詐欺 | ランサムウェア対策 | 迷惑ソフト一覧

雑記 > 無料ウイルス対策 > PowerShell


Copyright © 2016 Let's Emu!. All rights reserved.