複数のPCを使っています。いずれもメールソフトにはThunderbirdを使っています。
最近、1台のPCにマルウェアが感染したことが明らかになりました。(暗号化したファイルが破壊されていくなどの症状があります)
うかつに、感染したPCから未感染のPCにThunderbird をコピーしました。
このコピー手順は、c:>ユーザー>ユーザー名>AppData>Roaming>Thunderbird のフォルダーをそのままコピーして、他のPCの同じ場所に入れるものです。これは何度もやったことがあり、これまで問題なく機能しています。

ここでThunderbird 内のメールや添付ファイルにマルウェアが感染しているかは問いません。
ある情報では、マルウェアはプログラム領域があるものに感染すると聞いたことがあります。例としてWordやExcelは感染し得るし、メモ帳や音声ファイルには一般に感染しないとのことでした。

それからすると、Thunder birdにプログラム領域があれば感染が心配です。
この点を含め、Thunder bird自体へのマルウェア感染の可能性はどうでしょうか？

以上、宜しくお願い致します。

_________________
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.1.2 Safari/605.1.15

funky-cat さん、EarlgreyTea と申します。


マルウェアというのは悪意を持つソフトウェアの総称であり、ウィルスだけでなくいろいろな種類があります。
おそらくセキュリティソフトにより検出されたのだと思います。
症状や対策はそれぞれ異なりますので、正確な識別名称を元に適切な対策を調べて対処してください。


Thunderbirdのプログラムではなく、ユーザーデータ（プロファイル）をコピーされたのですね。
ところでこちらへの投稿はMacをご利用のようですが、問題が発生したのはWindowsのPCということでしょうか。


この書き方ですと、どうやらアプリのプログラムとデータの区別がよくわかっていない様子ですね。
そして、「ある情報」が何かはわかりませんが、そこで用いられた「プログラム領域」という語は、おそらくプログラム自体のことではなくコンピュータのメモリの用途別の領域のことを指したものかと思います。
その辺の話をごちゃまぜにしてしまっているような気がします。

「ある情報」などという不確かなものではなく、検出されたマルウェアに関する正確な対策情報を調べて対処に当たるべきでしょう。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0

回答ありがとうございます。
ご指摘の点を順次説明していきます。

⚫︎マルウェアについては、ウイルスやトロイの木馬等の種々があることは知っていますが、今回の侵入したものは暗号化したファイル(7-Zipにて)に特化して破壊しています。これがマルウェアのどの範疇にいるのかは知りません。
暗号化ファイルには個人情報が入ってることは相手も容易に推測するので、キーロガーも取っているでしょうね。
セキュリティソフトはWindows Defenderに頼っています。PCを使用する日には必ずアップデートし、フルスキャンは最低週1回してました。
それでも何かが検出されたことはなく、まだ検出できないものと思われます。

⚫︎Tunderbirdの私の言うコピーとは、アプリとデータ(ここで言うデータとは、メールとそも添付ファイル)の全てをまとめての意味です。

⚫︎このコピー方法はThunder birdの公式ページでそのままコピーする方法が説明されていますが、実質それと同じことが得られます。公式ページの説明では英語でどこのフォルダーを操作する、等説明がありますが、そのフォルダーを直接他のpcに移せます。これで、全ての設定したメールアドレス、サブフォルダー、振り分け条件、メールなども完全にコピーできます。

⚫︎アプリとデータの区分けについてですが、アプリとはアプリケーションソフトウェア(応用ソフト)すなはちThunder birdをダウンロードしたものの意味で、データとは送受信するメール(それに添付ファイル)の意味で使ってます。これで間違いはないでしょうか。

⚫︎ある情報とは、知人のプロのシステムエンジニアからの情報です。

要は私の知りたいのは、Thunder bird自体、つまりアプリケーションソフトウェアに感染し得るかどうかです。

_________________
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.1.2 Safari/605.1.15

なにか話が噛み合っていないように思います。


正体がわからないのでは何とも言いようがありません。
そもそも何者かが侵入して悪さをしているというのは確かな事実なのでしょうか。


しかし、ユーザーの「AppData>Roaming>Thunderbird」にあるのはユーザーデータです。
プログラムがあるのは標準では「C:\Program Files\Mozilla Thunderbird」とかです。


脅威の正体がわからない以上、その方の話は一般論としてでしょう。

全てのプログラムはコンピューターウイルスに感染する可能性があります。
未知の脆弱性がある可能性があります。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0

>要は私の知りたいのは、Thunderbird自体、つまりアプリケーションソフトウェアに感染し得るかどうかです。

可能性は０ではないと思いますが、可能性は低いと思います

＞最近、1台のPCにマルウェアが感染したことが明らかになりました。
＞(暗号化したファイルが破壊されていくなどの症状があります)

思い違いでは？
理由は以下で自分で実証しています

>セキュリティソフトはWindows Defenderに頼っています。PCを使用する日には必ずアップデートし、フルスキャンは最低週1回してました。
>それでも何かが検出されたことはなく、まだ検出できないものと思われます

マルウェアに感染していないですね多分

＞今回の侵入したものは暗号化したファイル(7-Zipにて)に特化して破壊しています

単にzipファイルが壊れた（壊れていた）だけではと思います

A)zipファイルの作成時に壊れることがあります
B)zipファイルの解凍時に壊れることがあります
C)zipファイルの送信時に壊れることもあり得ます

個人的には A) の可能性が高いと思われます
自分で作ったzipファイルなら、再度作成してみるなどして確かめほうがいいと思います

Thunderbirdは無関係では？？？？

なおウィルス（セキュリティ）の専門家ではありません
一般ユーザの個人的な意見です

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36

回答ありがとうございます。

⚫︎使用しているパソコンはWindowsです。
このサイトではiPadで閲覧等をしています。(パソコンが感染してると考えているため)

⚫︎ご指摘の
”しかし、ユーザーの「AppData>Roaming>Thunderbird」にあるのはユーザーデータです。
プログラムがあるのは標準では「C:\Program Files\Mozilla Thunderbird」とかです。“

確かにそうです。
私が気になっているのは、ユーザーデータの方です。この部分をそれまでクリーンだったPCにコピーしたことです。ここで気になっているのは、3台目にもコピーしたことです。

このユーザーデータの部分にはマルウェアは感染し得るのではないでしょうか？　これが私にとって重要な点です。

⚫︎異常動作がマルウェアか否かについて。
最初におかしいと思ったのは、PCの画面にAdobeを語り「エラー動作を報告しますか？」旨の表示が出ました。Adobe製品はPhotoshopなど使ってますが、この表示がけばくて怪しいので「いいえ」を押しても反応なしで、「はい」を押してしまいました。しかしいずれにしろ、こんな表示が出る時点で悪いものが入っていると解釈できるでしょう。それとこの表示にあったAdobe製品の中の名称は存在しないものでした。

それから数週間して、「完全抹消」というJungle社のアプリが正常に機能しなくなりました。これはファイルをゴミ箱に入れて消すだけでは、中身は残っているので、0や1を書き込んで名の通り完全抹消するものです。

そしてほぼ同時期に7-Zipで暗号化したファイルが全て別の名に変わり使えなくってました。
この2つのアプリは2019年から複数のPCで使用しており、こんな現象は初めてです。

更に、このPCからSSDにてデータをコピーした2台目のPCでも、同様の怪しい表示が出て「いいえ」には反応しない。そして「完全抹消」も機能しない同じ現象が出ました。また、7-Zipで暗号化したファイルも一部壊れていました。

これらの現象からして、正確にはウイルスかどうかはともかく悪意あるマルウェアと考えます。
いかがでしょうか？

funky-cat さん
このトピックでどういう回答が得られたら満足されるのでしょう。
「Thunderbirdは安心安全です！ 何も心配はありません」でしょうか。
「手遅れです！ Thunderbirdにマルウェアが感染していると思われます」でしょうか。
直接 funky-cat さんのパソコンを見ていない人間がそんなこと断言できるわけがありません。
それとも「大変だね」と共感してほしかっただけでしょうか。

それよりも、マルウェア対策に詳しいらしい「知人のプロのシステムエンジニア」さんにお願いして
直接 funky-cat さんのパソコンを調べてもらったらいいのではないでしょうか。
このフォーラムで funky-cat さんの不安を解消することはむずかしいかと思います。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0

ウィルススキャンで検出されていない


>これらの現象からして、正確にはウイルスかどうかはともかく悪意あるマルウェアと考えます。
>いかがでしょうか？

はい

その状況なら、、
ウィルス感染はしているようですね多分？
とりあえず考えていても怖いので

●PCをクリーンインストールしたらどうですか？

余談ですが、うちではわざと「身代金要求型のウイルス」に感染した時には
全てのファイルの名前が変えられて、全て暗号化されて開け
なくなりました。。破壊ではなく

今回は別のウイルスですかね、、？

Thunderbirdで最近、知らない添付ファイルを開きましたか？
　↓　はい
ならそれがウィルスだったと思います

　↓　いいえ
なら、Thunderbirdは無関係かも？



ウィルス素人の意見です

なお参考程度ですが、AVASTを入れてウィルススキャンすると引っかかる
かもしれません、、、、

----------------●20年くらい愛用しています　４億人以上が使用中です！
https://www.avast.co.jp/free-antivirus-download#pc
アバスト無料アンチウイルス
軽量かつ強固。必須の保護を

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36

thunner011様、回答をありがとうございます。

そのアンチウイルスソフトを試す価値はあると思います。
今回を含め、ファイルが次次に壊されるなど、ほぼ確実に感染したのは3回目です。以前はカスペルスキーを使用していましたが、ロシアがウクライナに侵攻してから西側諸国政府は使わないことを勧めるようになり、それからはWindows Defenderにしてます。

ほぼ確実に感染してるのにいずれもアンチウイルスソフトで検出は不可で、これらは攻撃側とのイタチごっこでしょうけど、攻撃側が有利ということかと思った次第です。

それで今回問題は、Thunder birdのフォルダーをコピーしたPCに、虎の子のデータがいってることです。通常は数台のSSDなど5台の外部記憶装置にバックアップを取ってますが、うかつにクリーンな外部記憶装置と汚染されたのを間違い、全て感染させてしまいました。

残りはこのPCですが、
感染リスクがある→あきらめて初期化する。
リスクがない→このPCをそのまま使い、大事なデータは他の外部記憶装置にコピーする。
を考えた次第です。

危険性があるなら諦めて初期化ですね。

>そのアンチウイルスソフトを試す価値はあると思います

AVASTやってみてください

うちではAVASTをずっと使っていたので
ウイルスの感染は基本ありませんでした
thunderbirdもずっと使っています

先ほど言ったようにわざと感染して遊んだのはありますが

なお、AVASTも完ぺきではありません、今日できたウイルスや
今日できた危ないサイトでは感染もあり得ます

データバックアップは必須です！！

PCがおかしいと思ったら躊躇なく
●クリーンインストールが王道です

感染を食い止めないといけません

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36

funky-cat さんの状況認識は混乱しているようですし、素人があれこれやって更に状況が悪化してると。
Thunderbirdのユーザーフォーラムで情報収集とか見当違いのことをやっている場合ではありません。

自分でなんとかしようとせずに一刻も早く専門家に依頼すべきです。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0

3台目
PCが感染しているかいないかは、変な表示がでたり、●zipファイルなどをみれば分かりますよね？

いずれにしてもPCは全部クリーンインストールですが

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36

3台目は、Dドライブに「虎の子のデータ」を入れています。
ThunderbirdのデータフォルダーはCドライブにありますが、Dにも感染する可能性はあるでしょうね。感染して拡がるのが使命だから！？

私よりはずっとコンピューターに詳しい知人に聞いたら、「Dドライブを取り外して、他のクリーンなコンピューターに繋いで、スキャンしたらいい」とのことでした。
しかし壁があって、これまでコンピューターを買っていた専門店で上記を聞いたけどやってくれません。もっとも店員によるかもですが。
それとスキャンしても検出できないものもあるので。

少々古いですが、3年くらい前のデータで、今回のドジでは無傷のハードディスクが生き残っていたので、これを使う予定です。

3台初期化して全てを再設定です。やや気が重くなりますが、全てのデータが壊滅よりはマシです。

今後はCドライブ丸ごとバックアップして、そのまま復元できる方法を探ります。acronisやアーク情報システムなどでできるようですが、やってみないとメーカーの謳っていることはわかりません。2年ほど前はこれらのメーカーに質問しながらやっても、丸ごと復元は不可でしたので。

今後、試してみる予定です。

>3台目は、Dドライブに「虎の子のデータ」を入れています。
>ThunderbirdのデータフォルダーはCドライブにありますが、Dにも感染する可能性はある>でしょうね。感染して拡がるのが使命だから！？

なるほど
Dドライブの「虎の子のデータ」が壊されるのを心配していたんですね？
それは無論あり得ます。3台目に直につながっているわけですから

Dドライブの中を見てzipが壊れていないで判断できます
　↓壊れて開けない
感染（破壊）済です

　↓壊れていないので開けた

感染（破壊）なしです

なお、AVASTなどのアンチウィルスソフトはスキャン対象は

Ｃ：ドライブ内のプログラム（.exe）です

間違ってもDドライブの中のzipやtxtではありません

AVASTなどのアンチウィルスソフトではデータのチェックはしないので
勘違いしないようしてください

D:ドライブ内にプログラム（.exe）が保存されていますか？
　↓はい
ならそれはAVASTでチェックしてくれます


>私よりはずっとコンピューターに詳しい知人に聞いたら、「Dドライブを取り外して、他>のクリーンなコンピューターに繋いで、スキャンしたらいい」とのことでした。
>しかし壁があって、これまでコンピューターを買っていた専門店で上記を聞いたけどや>ってくれません。もっとも店員によるかもですが。
>それとスキャンしても検出できないものもあるので。

なお、AVASTなどのアンチウィルスソフトはスキャン対象は

Ｃ：ドライブ内のプログラム（.exe）です

間違ってもDドライブの中のzipやtxtではありません

AVASTなどのアンチウィルスソフトではデータのチェックはしないので
勘違いしないようしてください

D:ドライブ内にプログラム（.exe）が保存されていますか？
　↓はい
ならそれはAVASTでチェックしてくれます


>少々古いですが、3年くらい前のデータで、今回のドジでは無傷のハードディスクが生き>残っていたので、これを使う予定です。

ちゃんと復活データがあったのですか。よかったです。
心配ないですね　安心しました

>3台初期化して全てを再設定です。やや気が重くなりますが、全てのデータが壊滅よりは>マシです。

仕方ありません
安心安全のためです
クリーンインストール何か一日に１０回やったこともありました


>今後はCドライブ丸ごとバックアップして、そのまま復元できる方法を探ります。
>acronisやアーク情報システムなどでできるようですが、
>やってみないとメーカーの謳っていることはわかりません。
>2年ほど前はこれらのメーカーに質問しながらやっても、丸ごと復元は不可でしたので。

いや　そんなことはないはずです
acronisもう●２０年？くらい毎日のように使っていますが、、、
いくらでも復元できます
一日に１０回復元したこともあります
この世で最高のバックアップ・復活ソフトだと思っています
５００万ユーザがいるのはだてではありません
よく説明文を読んで試してみるといいです

個人の意見です

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36

ありがとうございます。

acronisを一旦解約していましたがえ、再開してみます。丸ごと復元はすごく楽ですので。

Dドライブの感染についても試してみます。
3台全てやられて気落ちしてましたが、やっと「再生」にとろかかりる気になってきました