キャンセル完了のお知らせ? 迷惑メールzipでウイルス感染 wsfファイル注意

イメージ 4
Image いらすとや

無視できず目に留まってしまう 『キャンセル完了のお知らせ キャンセル手続きが下記の通り完了しております』『返事、待ってます』『フォト』 といった日本語表記の 添付ファイル付き迷惑メール(スパムメール) が無差別配信されてます。

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「キャンセル完了のお知らせ」。本文は添付書類の確認を求める内容となっていますが、添付ファイルは書類を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/824456044227145728

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「Re:」「Fwd:」「FW:」。本文は添付写真等の確認や返信を求める内容となっていますが、添付ファイルは画像等を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/824456135797207040


添付されてるのはzip形式の圧縮アーカイブということで、まずは手動でこれを展開・解凍して中身を確認してみると、次のような スクリプトファイル拡張子 .wsf) でした。
 
イメージ 1
種類は Windows Script ファイル
「(20170124-899021-0986655).xls.wsf
「09388-1?000017.wsf
「image-001-904563.jpeg.wsf
 
ユーザーにエクセルxlsやJPEG写真が送られてきたと誤認させるため ファイルの拡張子 を 二重拡張子 に仕立ててあるけど、アイコンは水色の巻き物の図案です。
 
ちなみに、この形式の動作対応環境はWindowsパソコンだけで Mac OS、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんはターゲットでなし♪

wsfファイル開くとUrsnifウイルス感染

このwsfファイルをWindowsパソコン上でポチポチッとダウブルクリックして開くと、ネットバンキング不正送金被害に繋がる Ursnif(アースニフ)ウイルス に感染!
 
…となるはずが、エラーダイアログが表示されてしまい正常に動作せず?
 
イメージ 2
 
いちおうドイツのサーバー(レストランのサイト?) に接続しWindows向け実行ファイルのダウンロードを試みてるけど、このサーバーは http:// → https:// へリダイレクトする処理が用意されてるのでダウンロードに失敗してます。
 
イメージ 3
ダウンロード試み虚しく実行ファイルはダウンロードされず
 
【攻撃者が感染させたかったUrsnifウイルス】
MD5 b448453b7f2d7758c6e2b6c0a22b0c6c
www.virustotal.com/ja/file/f220a966aaffb0bab4956c35d392564993e310211c3b7b9e9834910258dea3da/analysis/1485330432/

無料ウイルス対策でスクリプトファイル対抗

今回は攻撃者側の完全なミスでたまたま感染せず運良く助かるパターンだけど、ゼッタイにやってはいけないことは1つー

スクリプトファイル(拡張子 .wsf)をダブルクリックして開く
アウト

ただ、完璧な人間は存在せず人的ミスで ”うっかり” やらかすのを前提に、今後の攻撃に備えて ウイルス感染回避できる効果的な無料対策 があるのでぜひ!

関連するブログ記事