私の自宅には、NETGEARのNAS「ReadyNAS Ultra4」があります。ある日を境に、NAS内のフォルダに「Photo.scr」または「info.zip」というファイルが大量(その数数千!)に作成されていることに気づきます。しかも、フォルダアイコンに偽装されているため、私の妻がクリックしてしまいました。そう、ここからが戦いでした。
まず私がしたことは、ウイルスチェックとスパイウェア・ワームの検索と駆除です。PCに入れているのは無料のウィルスソフト「Avast! HOME Edition」ですが、このソフト、無料にも関わらずよく働いてくれているようで、今までもメールに添付されていたウィルス等もことごとく駆除してくれていました。
ところが、今回は勝手が違い、NAS内のPhoto.scr等は削除してくれるのですが、肝心の原因が全く分からなかったのです。消しては、現れるが2週間ほど続きました。多分、他の有料ウイルス対策ソフトでも駆除できないとは知らず・・・。
ある日ふと気づきます。
<iframe src="Photo.scr" width="1" height="1" frameborder="0"> </iframe>どうやらこれが手がかりになりそうな予感・・・
ググって色々調べてみると、外部から侵入され、「ビットコインマイニングマルウェア」というものを仕込まれたようです。
引用元>2016/09/13付記事:殆どの接続されているSeagate Central デバイスは、Moner採掘トロイに感染していた
私の所有する全てのPCをシャットダウンしているのに、NAS内にPhoto.scrが現れたりするのは、私が常時接続のネットワーク上で、NASのFTPサービスを使っていたため、外部からこのFTPサーバであるNASに侵入されたようです。パスワードも掛けていたのですが、レベルの低いものだったのでクラックされたみたいです。恐ろしや。nas内に置かれたPhoto.scrやinfo.zipを直接クリックさせるか、iframeで表示されたバナーをクリックさせ感染拡大するワームのようです。
直ぐにFTPサービスを停止しました。すると2日間はぱったりPhoto.scrが現れなくなりました。しばらく様子を見ようと思います。みなさんも自宅でFTPサービスを使用している際は、気をつけてください。
【コメントはこちらへどうぞ】
