ノートパソコン dynabook が 
8万円から♪日本語ウイルス付き迷惑メール 送信IPから分かる2つの事実 ボットネットKelihos
{{{ 2017年1月17日 更新 }}}
(Image いらすとや)
2016年から日本語表記で日本人を感染ターゲットにした 添付ファイル付き迷惑メール がバラ撒かれる脅威が確認されてます。
国内Windowsユーザーを広ーく無差別に狙っていて標的型攻撃ではないです。
【ウイルス検出名の例】
● ネットバンキング不正送金 Bebloh / Shiotob / URLZone
トレンドマイクロ TSPY_BEBLOH
シマンテック Trojan.Bebloh
マイクロソフト TrojanSpy:Win32/Shiotob
カスペルスキー Trojan-Banker.Win32.Shiotob
ESET Win32/Spy.Bebloh
● ネットバンキング不正送金 Ursnif / Gozi
トレンドマイクロ TSPY_URSNIF
マイクロソフト TrojanSpy:Win32/Ursnif
受信した迷惑メールのヘッダー情報から 送信された発信元となるIPアドレス をリストアップしてみました。 
■ 件名 電子請求
送信IP → cable.ogaki-tv.ne.jp [175.158.125.23] 日本
ブラックリスト → ボットネット Zbot■ 募集写真
送信IP → [116.100.80.62] ベトナム
ブラックリスト → ボットネット Kelihos■ 写真
送信IP → impsat.com.co [201.234.242.50] コロンビア
ブラックリスト → ボットネット Kelihos■ 宅急便受取指定ご依頼受付完了のお知らせ
送信IP → netvigator.com [219.76.247.195] 香港
ブラックリスト → (登録なし)■ ファイル送付の連絡
送信IP → wdm.pl [185.39.161.135] ポーランド
ブラックリスト → ボットネット Necurs / Kelihos / Tinba
■ 写真
送信IP → serverdedicati.aruba.it [95.110.227.242] イタリア
ブラックリスト → ボットネット Kelihos■ 受注確認メール送信IP → zimbra.revifa.it [93.63.153.170] イタリア
ブラックリスト → ボットネット Gozi■ 電子請求
送信IP → sheraton-miyakohotel-osaka1-unet.ocn.ne.jp [180.43.135.122] 日本
ブラックリスト → ボットネット Kelihos■ 宅急便受取指定ご依頼受付完了のお知らせ
送信IP → vdc.vn [113.161.89.135] ベトナム
ブラックリスト → ボットネット Conficker■ 作業日報
送信IP → cust.vodafonedsl.it [93.144.164.79] イタリア
ブラックリスト → ボットネット Kelihos■ 宅急便お届けのお知らせ
送信IP → vdc.vn [113.161.160.136] ベトナム
ブラックリスト → ボットネット Gozi
■ 件名 ご確認送信IP → vnpt.vn [14.191.170.32] ベトナム
ブラックリスト → ボットネット Kelihos
■ ご注文受付メール
送信IP → [121.122.76.60] マレーシア
ブラックリスト → ボットネット Kelihos■ 写真
送信IP → tokyff01.ap.so-net.ne.jp [121.2.69.40] 日本
ブラックリスト → ボットネット Kelihos■ 注文書
送信IP → business.telecomitalia.it [80.19.55.98] イタリア
ブラックリスト → ボットネット Kelihos■ (発注書)送信IP → oxylion.net.pl [81.161.192.227] ポーランド
ブラックリスト → ボットネット Kelihos■ ご注文確認メール
送信IP → [200.54.162.137] チリ
ブラックリスト → ボットネット Kelihos■ Fwd: 台風対策について
送信IP → comunetrino1.unonet.it [94.143.100.77] イタリア
ブラックリスト → ボットネット Kelihos■ 発注依頼書送信IP → amnet.net.au [203.161.100.51] オーストラリアブラックリスト → ボットネット Kelihos■ ㈱ 発注書送信IP → oita.ocn.ne.jp [114.156.168.66] 日本ブラックリスト → ボットネット Kelihos■ 納品依頼をしてください
送信IP → business.telecomitalia.it [188.15.207.43] イタリアブラックリスト → ボットネット Kelihos■ お支払い期限を
送信IP → ftth.ucom.ne.jp [221.246.171.82] 日本
ブラックリスト → ボットネット Kelihos■ 注文書・注文請書
送信IP → [118.69.71.56] ベトナム
ブラックリスト → ボットネット Kelihos■ の買入れについて
送信IP → deldsl.net [203.110.81.92] インド
ブラックリスト → ボットネット Kelihos■ 許可書と送り状
送信IP → tokyo.ocn.ne.jp [180.43.57.135] 日本ブラックリスト → ボットネット Kelihos■ Documents: ●変更依頼 - 1TY101406(許可書)
送信IP → ctinets.com [59.148.253.83] 香港
ブラックリスト → ボットネット Kelihos■ 御請求書
送信IP → ifxnw.com.ar [181.119.27.9] アルゼンチン
ブラックリスト → ボットネット Kelihos■ の買入れについて
送信IP → [190.145.47.214] コロンビア
ブラックリスト → ボットネット Kelihos
■ 写真
送信IP → asahi-net.or.jp [218.219.201.199] 日本
ブラックリスト → ボットネット Kelihos
■ ダイレクトメール発注
送信IP → business.telecomitalia.it [5.172.115.198] イタリア
ブラックリスト → ボットネット Kelihos
ここから一連の攻撃キャンペーンの舞台裏として2つの事実が分かります。 
【1】 メールの差出人はすべて偽装されてる
表面的なメールの差出人は必ずしも当てにならないことは有名です。 
- 表面的なメールアドレスは日本の プロバイダメール や Yahoo!メール になって日本国内から送信?
- ヤマト運輸/クロネコヤマト に成りすます『宅急便受取指定ご依頼受付完了のお知らせ』『宅急便お届けのお知らせ』は正規ドメイン「~@kuronekoyamato.co.jp」から送信?
送信IPアドレスを見ると日本国内からのメールと偽装するため差出人”From” ”Return-Path” は攻撃者によって 詐称 されていて、様々な海外の国(一部は日本も)から ウイルスメール がバラ撒かれてます。 
【2】 メールを送信してるのは遠隔操作パソコンか
スパムメールを配信するブラックリストを提供する組織 Spamhaus が管理してる CBL(www.abuseat.org) で送信IPアドレスを引いてみると
ボットネット
(ウイルス感染で攻撃者に操られてるパソコンの集団)
(ウイルス感染で攻撃者に操られてるパソコンの集団)
に組み込まれてるという判定結果が返ってきます。
【1】 複数のWindowsパソコンにトロイの木馬を送り込んで感染させる
【2】 ボットネットを操るオペレータが遠隔操作できる状態にして準備OK
【3】 迷惑メールをバラ撒きたいスパマーが料金を支払って配信を依頼
【4】 乗っ取られたWindowsパソコン介して迷惑メールがドバドバ~
ボットネットの具体的な名称と、マイクロソフトによるウイルス定義名は次のようになってます。 
- PWS:Win32/Zbot (ゼットボット)
- Backdoor:Win32/Kelihos (ケリホス) ← 特に数が多い
- Trojan:Win32/Necurs
- Gozi (ゴジ)= TrojanSpy:Win32/Ursnif
- Worm:Win32/Conficker (コンフィッカー)
ウイルス検体のハッシュ値
日本語迷惑メールに添付されてた 実行ファイル(拡張子 .exe) のMD5ハッシュ値
オンラインスキャンサイト VirusTotal の結果を見ても、ウイルス定義データでは脅威と断定しない新鮮な亜種検体が毎回逐一投入されてます。 
39f8febe235feb20afc226be75f9c4b3
www.virustotal.com/ja/file/1d6d7ea0eeec99da1add9e83f672533eeee900dc817018ee6edbf635bb08cf0a/analysis/1453277439/
f97bd8bc9b58958b1d7951b925ebe30c
d36c7329c62599a7a4717ef1661aaf99
6e3738a3a5f3cde31c58498333f4edf8
e43c5a4f29c1a23a723ce7b84375f6b3
f878802829d3abd4b3d60f11c4862a0b
e43c5a4f29c1a23a723ce7b84375f6b3
MD5 e5fdc036be0c7c92d4874a19cd459419
www.virustotal.com/ja/file/753dec8875625924de526179cba5a49402ee0da7e22a4ffd8411feb4f1e06552/analysis/1456126824/
d73b6d13125cc278d43e20504720ade6
ff1366c7ea72006d3e4fbc7503a4b64f
c46e6aee8bd512fdedbee688e105df16
4367337227501b79b8d8e358289537df
a5c47ad336ca1dde8901d3692be20efe
6797a48f45c26b08e66d0adbf057960c
www.virustotal.com/en/file/14e70f8e8371c4aaf4ed3ee9bf2aa53eb420e28cff5546aa7927236d01bdfc34/analysis/1459924613/
e92f57a4d95bf1b026943226be750ca2
fcec2536fee26d01a6b979b18cab6318
01d379c0f8ca717c72623eb36980b9bf
25143a0e33c68a555abed7cca572a5e7
4f22b271e5ca551a82b2195ac9cdbd2a
7f8e975dfb3d106767e16266aeae6c17
d6b7449a521987645848e14899a61893
478298ffb9b400bb98cd9d2d5fdb3b55
www.virustotal.com/ja/file/60322c5ca2e234bcd7124c86e46f645d7aad2b5595038bc8343ac5324c482607/analysis/1465245586/
cd33f29d8735030e35f21c0b97cb1dbe
www.virustotal.com/ja/file/fe9b87d98cb1e708ea6df4052677f2ea651f3c14f2a7c6d6aca9f4b905cbbdfa/analysis/1465946634/
4b7a76cd0732a66b983a3227c840bdea
www.virustotal.com/ja/file/d906da427d56262f0ab04684edc1ca843618ad8033d063fd249ddd887981488e/analysis/1467062743/
fee0eb8c746af0618ac7e89151d21ccf
www.virustotal.com/ja/file/5b7e4c2df278c2bc9cc2dfa736227e28fdc3787173f4c5fcd30e0004ec06bdcb/analysis/1467097405/
147278530b0233c24db43f380a31ebea
www.virustotal.com/ja/file/9eaa00aa6ca9122a1c7cbeeb3ef2ac0caa52794b85cdf811b0436aba70097528/analysis/1467146979/
56e72e8d80abace736255a2a1d8b10dd
www.virustotal.com/ja/file/abb6fe1515e8d0f9d7b23965a35db4a863f92daafa46942d1d42662f9937b99a/analysis/1467185066/
79db6be988b8fb6b8f2373ae63e33467
www.virustotal.com/ja/file/b0752f8ae7d2a4922f018c8f02fd0e20d7674eadf94374734b75e64084af1d84/analysis/1467235331/
16efcafb19deb49f5c48df2a7297e4f7
www.virustotal.com/ja/file/fed5de3f9dbc37cf404e3a530d3358e6c1fbaf1a7d4833d19184b492a6f0da6b/analysis/1467271979/
561ea47dbb2f6c24a603f779c9ae41f8
www.virustotal.com/ja/file/f3e6cacf2a4fa6fa15596416263a0087ec0194db746081a08360cc69beec2f31/analysis/1467278015/
e5fb119c214d204d3fe6022e29279452
www.virustotal.com/ja/file/c670d4f30fb06df997adb263c753e21b2a6e2ebdad8ac436c24d4ddf44dc9924/analysis/1467664893/
195335b212fe5d15a2b3e43ebfcdec55
www.virustotal.com/ja/file/90510218184f3c92a14a04476aa1b8b7a00e6d98504fa13efe96ce19ba0e531a/analysis/1467700620/
d0b0ada2c431b6c7343acf96704d808e
www.virustotal.com/ja/file/7cef6a7410d9d16d7981108a5c0320fdcc93d23dcbe6c35174ca5de061fd83e7/analysis/1467756112/
c9f2cc956667c796fffcf30a4f99a192
www.virustotal.com/ja/file/24af6a68330743f0ba7e152d426f16768a915d619e807b56a4b7944c780fe46d/analysis/1467791032/
a09f30f35e3d1f872f405b19f8ae70fb
www.virustotal.com/ja/file/cfe49c0ce561b7834275f7f2d9f0cb8977025a095ab25d08c6c36c75863ddcc9/analysis/1467836428/
69be1e62b00ba27cc4ae0e3b41720d41
www.virustotal.com/ja/file/164eab81c9ef0b14b4f93f7f5b60b0111d9eb3de3131c35f2f388837e0309b9e/analysis/1468190462/
ed6fab764d7d18d9ab5572df5853ddd7
www.virustotal.com/ja/file/2209aa1f8719cc1f1bec10c0e2c611fff44107c54754b63af8bce748a9c2ba11/analysis/1468280405/
fdd93722ceb4829072dd506f53b3290d
www.virustotal.com/ja/file/3e325fe43a78054dad21049abc7ea56510959eb2da5a1e21dae3fe168106cade/analysis/1468960123/
d86436c06146654502e456718c383b3f
www.virustotal.com/ja/file/cc2b53c035e575343bb5436e65b9b15d9fb8782637642c0b4c2ad87c314687b5/analysis/1469477982/
4a8b8eb2afd717b679ffc800740b3bd2
www.virustotal.com/ja/file/dbe42c50bfa0dd6fe0b236fe5371bc294f43d48bbf1243d4f3b2a98041f0d3ab/analysis/1469517493/
23897dde7c1f34b64a60b6b85b66155e
www.virustotal.com/ja/file/3a5020bbd52ef368d98f51a9caca2b266f0f5ec7719e8159e32dd08ad80e60c4/analysis/1469563559/
001c16922b273d51fb3748c3b631b735
www.virustotal.com/ja/file/77980048740f4b60b50bd1a2e4b1c2b1389b5bf66ad2e737591a68fa4172b456/analysis/1469654291/
bedc786a73c1a6b667f04def2b5b8d18
www.virustotal.com/ja/file/e5114ab13097dff71d3f33dc5b9a9c4fb0206137babf41dde7c4ca614362098c/analysis/1470127233/
bac34f607b51b85251adabc4b63d9a8b
www.virustotal.com/ja/file/60e0f5deef23f463180ea830bb9f237a4f542cd73c1bb2c52912ccb594fc0e08/analysis/1470169094/
3b18e60d77dafc8e566558e2a4eae957
www.virustotal.com/ja/file/aff8f8711ca8eed648080884ff84c4dbe62d0ad401af6379def639b90098e802/analysis/1470257194/
26bfc108ec961ea10ca20afce4594d95
www.virustotal.com/ja/file/fb0f5ff4760f6869a63fc6ed01d19241d83919b88f70343473cb6af014fa8954/analysis/1470643491/
9ac9d7e8e6529825277f7acdf2d69fe8
www.virustotal.com/ja/file/1af5467950d5e171827936d522ae7fc47d7e92cb639d83a6d1b1e6170568987c/analysis/1470697561/
25cd1af912c50172a6fb8e5b64c3d570
www.virustotal.com/ja/file/194e6644ea8c81e8e6073434f5305c48fbd22dcbfe7d911ad36a314bf61ce301/analysis/1471292696/
cac0332e93d6f9df9d99f7224020b405
www.virustotal.com/ja/file/22fe4de964db8874728d54c8327f0763383b56bb838983ac2d0ad16f9a9f0296/analysis/1471381148/
863bd784a74ccf76afc69ba099185ba9
www.virustotal.com/ja/file/e0bdde6336208df8807c299ef8157ec7fd9e777dfd1cc1d49534c19e1a44f811/analysis/1471906669/
06b920b6d1300ed1698a15790b5c24db
www.virustotal.com/ja/file/94fd3688cbe6a0c732321ff7d6841e709d5530ecfc562343bc123637504f852b/analysis/1473106044/
0c0fcfa85b945d1ca027fba47a39d180
www.virustotal.com/ja/file/504d71d3e1ddf4487033d6c8a5840c7eccc5babcd7f23a5587eaa07aa61ea148/analysis/1473189686/
8c9bb73ea61389d67e711cf4f827ffe8
www.virustotal.com/ja/file/5f2c52c65412800f0fa9d92c99a28196be265b8cded2d0c4699ecdf960acf2ef/analysis/1473626378/
be87a25be3072d7601e5bf1e0c7b794c
www.virustotal.com/ja/file/8bf6825e1ab1a6b09fe9cc2eae461d80b431309887b5c5fe14ed299c1a2f44c3/analysis/1473711290/
5d832f13fdedfaefd84db40476549258
www.virustotal.com/ja/file/317bfbe3107ac085d1751e04202b99e2ce8a75285e5033b789de34457c7ae7a7/analysis/1473796659/
19cd518a9d9b4650f11375e77bd9997b
www.virustotal.com/ja/file/9e416802a31ee6a61074dee670fe3a4f9f9897eb9327cff79e0721cab066f353/analysis/1474309922/
b463b5b527c5e8133fd6f27423c148e6
www.virustotal.com/ja/file/40a8deaeb8902947c6ba98ce0af62a6a487c3afcaf6e96dcda2fb27e6af9c122/analysis/1474917747/
1150c183552f82d9eb4e467e363447b7
www.virustotal.com/ja/file/78af5ca8fb40b44a8c0678c85df7d014c72758388345c36aa429aab66f0b2385/analysis/1474959646/
22639c8124ea46c4aa13038e5894c59c
www.virustotal.com/ja/file/5914a658c65237b9e9516313c39efffd646b6e9573315a6353375863c1d5b6e5/analysis/1475047795/
f4df6f5be97135ff6c7770a2060e890f
www.virustotal.com/ja/file/d5850ed32b01a10d2e6aa4a3997ae8f35cb3c595fde75929d61ecd13fab2455c/analysis/1476131022/
e8932e011d6d8285f99b581715f17f46
www.virustotal.com/ja/file/2b7c4c4370000b258932ffe871e3cd9ec613c223ea129fd164d32070544ee53f/analysis/1476216472/
5ca897896f62b75c4e41884170b943c2
www.virustotal.com/ja/file/4ee9a7fd63daab6d756193756c3a63b2bcc3a2c04397c6126b9c6f3b1ada0b5c/analysis/1476653415/
6db1e83ff48abcf6906a6711b40d5e82
www.virustotal.com/ja/file/0733779b99ccced9808136088e08bed6518097fd892c51c150a5d7e99b755562/analysis/1476744016/
cdc28354bfc85a1cd4e7212a0f8d7d17
www.virustotal.com/ja/file/2d43697cacccfa10ac4fe3119a86bcc1113925f04d7b95e3297ace3ee1dbcb75/analysis/1476821756/
8f998d2ded88e8a6bfc5ac89eebec62b
www.virustotal.com/ja/file/4b64a23de0d09e2f9daeef283d4582bf04b416b465c1c6863b7698eb82b56c4e/analysis/1477257889/
7e6f5c4fe2077364548c4b462bf55cd0
www.virustotal.com/ja/file/70b055c547b0d3f5a0b51ef1fe25abbff77f468cd3265da9b669fbd82e32fe56/analysis/1477345344/
42e2e9fe2faae8204db3d6829eaed8a4
www.virustotal.com/ja/file/4039ab72bce95e0ec30092a12a7d6d4f8509d5a6bc05fc8e6463c9a262060434/analysis/1477432218/
4855c22ff83e1ed4f2a892b37d473bf6
www.virustotal.com/ja/file/ece07fc91c99bb3ea3ffdfaadb51e38679cba43287413ea95c8a47d157fcd488/analysis/1477864020/
61e50f1290287fa54e04345d310668e4
www.virustotal.com/ja/file/ba264b6fd7795fdea336364082491c7aba457cbf2edabf6c44df0562e34810ba/analysis/1479155214/
77d1e3877d13dcc23f3694424e3a25e4
www.virustotal.com/ja/file/67e0e3d8c9152ff41865fb9bf4deaf3a6a16939c7c6eb2b0ada9b3395594e45e/analysis/1479244108
・
