初回投稿 2018年1月5日
最終更新 2019年11月30日


Emotetマルウェア感染経路とウイルス対策3つ Wordファイル添付メールが地雷!

マルウェア Emotet の感染を意図する迷惑メール実例。添付ファイル Word ファイル .doc がマクロウイルス! Emotet に対抗する無料ウイルス対策で感染経路を防ぐ方法、スマホや Mac に影響は? ウイルスバスター、ノートン、カスペルスキー、ESET の Emotet 検出名も。

明らかに怪しい、あるいは必ずしも怪しいと判断できない Eメール を受信した?

  • Eメールにナゾの 添付ファイル がある

  • Eメールに添付ファイルはないものの
    本文中に URL or リンク があってクリックを誘う

そんな危険な 迷惑メール(スパムメール) が、世界中のEメールアドレス宛てにバラ撒かれているので、2018年以降に確認された英語表記のメール実例をいくつか挙げます。


■ 荷物の配達通知を装う迷惑メール例

件名 UPS Shipment Notification / UPS Express Domestic
The status of your package has changed
Exception Reason: A transportation accident has delayed delivery
Exception Resolution: We've missed the scheduled transfer time. This may cause a delay
The physical parcel may or may not have actually been tendered to UPS for shipment
Scheduled Delivery Date: [曜日], [数字]/[数字]/[数字]
Shipment Details
Tracking Number: [英数字]
Ship To: [人名]
Weight: [数字].[数字] KGS
件名 Tracking Number [数字]
Please check your shipment and contact details below. To track your shipment, click here
Scheduled Delivery Date: [曜日], [数字]/[数字]/[数字]
Shipment number: [数字]
Number of Packages: [数字]
件名 UPS Shipment Notification / UPS Schedule Delivery Update, Tracking Number [英数字]
You have a parcel coming
The physical parcel may or may not have actually been tendered to UPS for shipment
Check the status of your shipment here
Scheduled Delivery Date: [曜日], [数字]/[数字]/[数字]
Shipment Details
Tracking Number: [英数字]
Weight: [数字].[数字] KGS
件名 UPS Shipment Notification
You have a parcel coming
The physical parcel may or may not have actually been tendered to UPS for shipment
Status of your UPS package can be obtained here
UPS shipment tracking
From: [人名]
Tracking Number: [英数字]
件名 UPS Express Domestic
To verify the status of your UPS shipment, please click here.
Scheduled Delivery Date: [曜日], [数字]/[数字]/[数字]
UPS shipment tracking
Shipment number: [英数字]
Weight: [数字].[数字] KGS
件名 Your UPS Invoice is Ready
The physical parcel may or may not have actually been tendered to UPS for shipment
SHIPMENT CONTENTS
Shipment number: [英数字]
From: [人名]
Ship To: (It is necessary to specify the address)
Scheduled Delivery: [数字]/[数字]/[数字]
件名 DHL Shipment Notification
Hi,
The scheduled delivery is Thu [月] [日] 2018 before End of Day.
Please check your shipment and contact details below. If you need to make a change or track your shipment, click here.
DHL shipment tracking


金銭の支払い請求書を装う迷惑メール例

件名 Paid Invoice
I was following up to find out when we can expect payment on the attached invoice. Thanks!
件名 Payment / Pay Invoice
This is the invoice for your new order. Please review this information and confirm this is good to go
件名 Outstanding Invoices
Please open the attached document. This document was digitally sent to you using an HP Digital Sending device
件名 INVOICE # [英字]-[数字]
Attached is INVOICE # [英字]-[数字] from [人名]
件名 [人名] For Check No: [数字]
Good Afternoon,
Invoice is avaible for download
件名 re: Invoice #[数字] / Invoice Problem
Greetings ,
I wasn't lucky enough to reach you by phone recently. Have you payed this invoice below yet? please reply if you haven't or just ignore this letter if you've already did
re: Invoice #[数字]:
件名 INCORRECT INVOICE
Morning
We are waiting for the confirmation from your side so that we can send you the Invoice & Credit card link to process the payment and start the services. If you have any queries, please feel free to contact us. We hope for a positive reply
件名 Purchases 2018
Hi ,
I have checked and re attached all forms required. Please advise if you find any error
件名 Need to send the attachment
Morning
Please refer to the attached copy of the invoice, along with the associated credit card receipt that cover the prepaid shipping and handling charges. Thank you for the opportunity to be of service
件名 tracking number and invoice of your order
Please see attached invoice [数字] for [人名] preprints. It appears this invoice was short-paid by $[数字].[数字]. Can you please look into this?
件名 Emailing: [英数字] [数字]
This is the invoice for your new order. Please review this information and confirm this is good to go
件名 Invoice [数字] / Invoice [数字] from [人名]
Your invoice is attached. Please remit payment at your earliest convenience. Thank you for your business - we appreciate it very much
件名 Awaiting for your confirmation
We now need Invoice.
This correspondence and any files transmitted with it are confidential and intended solely for the use of the intended recipient(s) to whom it is addressed
件名 Payment status
Good Afternoon,
Attached is our invoice #[数字] for the above referenced for purchase order #[数字]. Please feel free to contact us if you have any questions
件名 [英数字]-[数字]
Hi , [メールアドレスの一部]
Lovely talking to you earlier.Please find attached the verti draining invoice for grant purposes. I just have a couple of fertilisings still to charge for but the bulk I have already invoiced
件名 Statement as at [数字].[数字].2018
The registration your invoice: [数字].[数字].2018 is registered, the invoice is being paid by Direct Debit the remaining Balance is $[数字].[数字]
件名 [人名] Past Due invoice
Attached are copies of your electronic invoices from [人名]
件名 Billing Invoice - Job # [数字] / Review invoice required
件名 New payment notice / Activity Alert: Payment with a new address / Activity Alert: Bankofamerica payment notice / Account Alert - Details to update
Dear,
For details of a recent payment made to you, please see the attached payment remittance advice.
You sent a payment of $[数字] to [人名]
If you have any queries or questions, our contact details are printed on the remittance advice
件名 Invoice due, number [数字]
Greetings,
Sending you your invoice below.I am available if you have any questions or concerns at [数字]
件名 Statement & Request for Payment
Please find attached confirmation of our order no. [数字]
Amazon coupon to 50%! / Save up to 50%! - Amazon Cyber Monday
Amazon.com
Cyber Monday Deals Week
Dear client,
As a thank you for being an Amazon customer, we have placed a $[数字] Amazon credit for you. We will automatically apply the balance of your credit to any purchase in the Amazon only on CYBER MONDAY!
Save up to 50%!
Promotional credit expires on November [数字], 2018.
Get your Cyber Monday coupon
[人名] – Sales – Invoice [英数字]
Sorry for the delay
Please submit the new documents as soon as possible.
Missing Documents:
Invoice [英数字] (previous version is attached)
We appreciate your business and look forward to your prompt payment
PayPal Instant payment received
paypal [月] [日], 2018
Transaction ID: [英数字]
Good Afternoon,
You received a payment of $[数字] USD
Thanks for using PayPal. To see all the transaction details, download your PayPal Transaction details file:
Download transaction details online-file
It may take a few moments for this transaction to appear in your account
件名 Amazon order details / Your Amazon.com order... / Amazon.com order payment / Order #[数字]-[数字]-[数字] / Your order [数字]-[数字]-[数字] has shipped
Amazon.com
Your Recommendations | Your Account | Amazon.com
Order Confirmation
Order #[数字]-[数字]-[数字]
Hi ,
Thank you for shopping with us. We confirmation that your item has shipped. Your order details are available on link below. The payment details of your transaction can be found on the order invoice.
Your estimated delivery date is:
Your shipping speed: Standard{Express
Order Details
Payment Summary
Order #[数字]-[数字]-[数字]
Item Subtotal:
Shipping & Handling:
Total Before Tax:
Estimated Tax:
Order Total:
To learn more about ordering, go to Ordering from Amazon.com.
 If you want more information or need more assistance, go to Help.
Thank you for shopping with us.
Amazon.com
件名 Invoice, Account: [英数字]
Dear Client,
Please can the attached doc be checked and its the same as a December inv.
You can download view using this link
件名 Re: [任意のタイトル]
Attached is the signed agreement. If you have any questions, please do not hesitate to contact us.{Can you please look into this urgently and advise?{I have finally been sent the new table-form, which is great. I forward it to you.{I have sent the new file in DOC format.{I have sent the policy wording in DOC format.{I meant to send a doc before ,sorry.{Is this one authorised? (Docs in attachment.){Thank you for your email. I have attached all the data.{I'll just await your advise on this one. Documentation is attached.{Here all our documentation for our question.{I am getting very frustrated that after multiple phone calls nobody seems to be able to resolve this issue. Further to our conversationI have forwarded the email.{Confirming the setup is complete now.{Thank you for your business - we appreciate it very much. FireflyFramer
{This email has been scanned by LANserve Email Defence. For more information please visit www.emergingit.com{Message protected by MailGuard: e-mail anti-virus, anti-spam and content filtering.{This email has been checked for viruses by Avast antivirus software


不審な迷惑メールの特徴は?

迷惑メールの内容やテーマは次のようなパターンで、文書(ドキュメント)ファイルを確認するよう誘います。

  1. 金銭の支払いネタな請求書 Invoice(インボイス)

  2. 実在する国際運送会社を名乗る荷物の配達通知

不審メールにマクロウイルスの感染手口

受け取った迷惑メール(スパムメール)から入手できるファイルの形式は具体的にナニ?


請求書や通知と称して、もっともらしく文書ファイルがEメールで送られてくるシチュエーションは必ずしも不自然とは言えないはずで、文書ファイルという形式ではセキュリティ製品やメールソフトのスパムフィルターで安直に弾くのも困難です。

さらに、古典的な Windows 実行ファイル(拡張子 .exe) ではないから、文書ファイルを手にしたユーザーさんにさほど怪しまれないメリットもあります。

このワードファイル .doc の正体は マクロウイルス という脅威であり、Windows 環境を攻撃ターゲットにするマルウェア Emotet の感染を意図するものです。

【マクロウイルス とは】
オフィスソフト Microsoft Office に標準で実装されている Visual Basic for Application、いわゆるマクロの機能を悪用して不正な攻撃を行うコンピュータウイルス。マクロウイルスは基本的に Microsoft Office がインストールされてある Windows 環境で影響があり、その実体は Word ファイルや Excel ファイルにすぎないから厄介。また、マクロウイルスは何かしらセキュリティ上の欠陥(脆弱性)を悪用する脅威ではないので、Windows Update の実施は直接的なウイルス対策にならない。 無題な濃いログ
Emotet とは
Emotet(読み方 エモテット) は、ネットバンキング不正送金を意図するコンピュータウイルスとして2014年6月に報告された Windows の脅威。Emotet(エモテット) はあくまでセキュリティ会社が勝手に付けた名称になるので、アンダーグラウンドでの正式名はナゾ。2017年あたりから任意の実行ファイル(ネットバンキングウイルス、スパイウェア、ランサムウェア)を送り込んで感染させる配信プラットフォームの性質を持ったダウンローダー型トロイの木馬へと進化を遂げる。

Windows XP/Vista/7/8/10 … マクロウイルスやマルウェア Emotet の影響あり
macOS … Eメールの受信はあっても、マクロウイルスやマルウェア Emotet の影響なし
Android スマホ
iOS (iPhone / iPad)
ガラケー Firefly
Linux
人体


心を操られる!? マクロを許可させる巧妙な手口

マクロウイルスは、Mac やスマホではない Windows PC で影響があるので、不正なワードファイル .doc を Microsoft Word で開いたらどうなる?

まず、Microsoft Office の [Enable content] (日本語で [コンテンツの有効化]) ボタンを押すよう指示を出す英語のメッセージが記載された文書が表示されました。

~ マクロを許可するよう指示するメッセージ例 ~

[Emotet マルウェアのワード文書ファイル] Office 365 This document created in online version of Microsoft Office Word To view or edit this document, please click Enable editing button on the top yellow bar, and then click Enable content

[Emotet Downloader Document File] Microsoft Office 365 You are attemping to open a file that was created in an earlier version of Microsoft Office. If the file opens in Protected View, click Enable Edition and then click Enable Content.

[エモテット ワードファイル] This document was created in OpenOffice. To edit this document, click Enable editing button from the yellow bar above. Once you have enabled editing, please click Enable content button form the yellow bar above.

[Emotet マクロウイルス] Office You are attemting to open a file that was created in an earlier version of Microsoft Office if the file opens in Protected View, click Enable Editing and then click Enable Centent

[Emotet 感染経路 .doc ファイル] Microsoft Office Activation Wizard Thank you. Your copy of Microsoft Office is activated. To make you changes take effect, click Enable Editing and Enable Content

[Emotet ダウンローダー文書ファイル] PROTECTED VIEW The action can't be completed because the file is open in Protected View. Some active content has been disabled. Click Enable Editing and Enable Content.

[Emotet 感染用 Word ファイル]Microsoft Word Word couldn't start last time. Safe mode could help you troubleshoot the problem. To start Microsoft Word in safe mode press Enable Editing and Enable Content.

このメッセージは ユーザーを騙す完全なウソ です。

  1. Microsoft Office はデフォルトではマクロを動作させないセキュリティ制限あり

  2. 一方で、Windows ユーザーさんの意思でマクロの動作を手動で許可させることができる

Emotet(エモテット) の感染を狙うメール攻撃者は、この ”人間の壁” に真っ向から立ち向かい、コトバを使って 人間を心を操る戦略 を投入することで、マクロの動作を許可させようと誘導します。

イメージ 1
セキュリティの警告 [コンテンツの有効化] 押すな!

かなりヤバいことに、一部の Windows ユーザーさんは、ワードファイル .doc を開いた直後に Microsoft Office が警告してくる意図が分かりません。

中には、警告されていることにすら気づかず、文書を正常に表示する作業の一環と思い込んで、何ら躊躇することなく自爆ボタン [コンテンツの有効化] をポチッとな → ドッカ~~ン! THE END!

そもそも、セキュリティ意識が低いユーザーさんは、警告や確認の場面があっても何も考えず先へ進めて手に負えず、セキュリティソフトが羽交い締めにでもして人間の行動を 「押すな!」 とリアルに阻止するワケにもいかないから…。


PowerShell の悪用でマルウェア Emotet 感染

Emotet(エモテット) は、Mac やスマホではない Windows PC でのみ影響があるので、手元の環境で Microsoft Office のマクロを故意に許可して攻撃をモロに喰らってみました。

その調査時の Windows のプロセスの様子がコチラ♪

マクロウイルスのワード文書ファイル .doc を開き、コンテンツの有効化ボタンを押してマクロの動作を許可して、マルウェア Emotet に感染する直前の Windows の様子

Windows のプロセスで Microsoft Word のツリーにぶら下がる PowerShell powewrshell.exe が Emotet の実行ファイルをダウンロードしてくる

Windows のシステムに最初から用意されてある正規プログラム PowerShell、…実行ファイルでいう powershell.exe が起動しています。

Microsoft Word のマクロが処理されると、プロセスの親子関係を分離させる目的で WMI(wmiprvse.exe) から PowerShell(powershell.exe) を起動する
powershell.exe に渡されたパラメータ
Base64 エンコードで処理内容は意味不明?

Base64 のデータをデコードして難読化を解除すると PowerShell スクリプトには 5つの URL に接続を試みて .exe ファイルをダウンロードしてきて実行する
PowerShell スクリプトが処理する内容
ナゾの URL が5つ見える!

具体的に何が行われるかというと、powershell.exe を介して外部ネットワークに接続を試み、マルウェア Emotet(エモテット) の実行ファイル .exe をダウンロードしています。

イメージ 6
powershell.exe による通信トラフィックの様子

  • ウイルス置き場 … ハッキングされている一般サイトのサーバーを悪用
    └ サイト運営者が対処するのを見越して、予備も含む接続先として5つほど準備してある

  • PC は一般サイトの正当なサーバーに接続する形なので、セキュリティ製品を迂回されうる

一連の流れをまとめると、ユーザーの意思でワードファイル .doc をポチポチッと開いて、マクロの動作を許可するボタンをポチッと押した結果、メインとなるマルウェア Emotet(エモテット) が裏でコッソリとダウンロードされてきて起動して感染する、となります。


セキュリティソフトを真っ先に出し抜く

ちなみに、こういう風に PowerShell を悪用してメモリ上にのみ攻撃処理を展開する手法のことを、セキュリティ界隈では 「ファイルレス攻撃」 「ファイルレスマルウェア」 と呼んだりしています。

  1. ウイルス感染を防ごうと頑張る セキュリティソフトの検出が迂回されうる
    → 正当な場面で使われる Microsoft Office のマクロ機能や PowerShell の悪用

  2. Windows ユーザーさんは裏で起こったトンでもな攻撃にサッパリ気づけない
    → 何かウィンドウ画面が表示されることもなく 症状として目に見ない ため

このおっかない攻撃を防ぐため ”特別な素晴らしいサイバーセキュリティ製品” を Windows に導入しないといけない?

いやいや、マルウェア Emotet(エモテット) の対策とか称して便乗宣伝をするパターンではありません。。。

マルウェア Emotet の感染防ぐ無料ウイルス対策3つ

迷惑メール(スパムメール)を起点に、マルウェア Emotet(エモテット) に感染に至る流れを押さえたところで、Windows PC を護る有効な対策方法として、次の3つのウイルス対策でバシッと先手を打つのがポイントです。

  1. マクロウイルスの根本的な防止対策 (無料)

  2. スクリプトファイルのウイルス感染防止対策 (無料)

  3. ファイアウォールの設定でウイルス対策

それこそ、今から 15年以上も前に確認された 「ウイルスメールを開くだけで感染」 とかではないから、メールソフトのプレビュー機能を無効にする対策といった、ほぼ意味のない時代錯誤のお話ではありません。

上で詳しく紹介した、マクロウイルスから Emotet(エモテット) に感染する手口にガッチリ沿い、Windows ユーザーさんが不正なファイル、特にワードファイルをうっかり開いても Emotet(エモテット) に感染しなくなる効果的な 無料ウイルス対策 がコチラ♪


【1】 マクロウイルスの根本的な防止対策

そもそも、マクロウイルス対策は Microsoft Office に最初から標準で実装されています。 <対策にお金はかからない

お金がかからないマルウェア Emotet の対策として、Microsoft Word / Excel のセキュリティ設定を変更しマクロ感染型ウイルスの無害化 「警告を表示してすべてのマクロを無効にする」→「警告を表示せずにすべてのマクロを無効にする」
Microsoft Office セキュリティセンターの対策
警告を表示せずにすべてのマクロを無効にする

具体的に、Microsoft Word と Microsoft Excel のそれぞれのセキュリティの設定を切り替えて、マクロの動作を完全に無効にしておくと、Emotet(エモテット) の感染直前に処理されるマクロは動作せず、攻撃は100%失敗します。

具体的な作業として、それぞれの [オプション] → 左メニューの [セキュリティセンター] → [セキュリティセンター] ボタン → 左メニューの [マクロの設定] で四択オプションを切り替えましょ。

警告を表示せずにすべてのマクロを無効にする(L) 【推奨】
警告を表示してすべてのマクロを無効にする(D) 【注意】
● デジタル署名されたマクロを除き、すべてのマクロを無効にする(G) Firefly
すべてのマクロを有効にする(推奨しません。危険なコードが実行される可能性が…(E) 【危険】

ひたすら後を追う セキュリティソフトの出る幕なし


【2】 スクリプトファイルのウイルス感染防止対策

不正な Windows スクリプトファイルを開かせる攻撃手口で有効な無料ウイルス対策です。




ひたすら後を追う セキュリティソフトの出る幕なし


【3】 ファイアウォールの設定でウイルス対策

Emotet の実行ファイルを外部ネットワークから落としてくる ”ダウンローダー” の役割として Windows の正規プログラムが悪用されています。

ここで Windows ユーザーさんが、任意のソフトウェアの外部通信を制御できる防具 ファイアウォール の出番です。

powershell
Windows 標準のファイアウォールでブロックする?

あらかじめ、次の実行ファイルをファイアウォールの外部通信(送信側、アウトバウンド)でブロック対象に登録しておくと、”ダウンローダー” としてサッパリ機能しなくなり、狡猾な Emotet 攻撃者を100%確実に出し抜けます。

  • powershell.exe

  • wscript.exe

このウイルス対策は、Windows PC で稼働するセキュリティソフトに用意されているファイアウォールの機能を使う、あるいは Windows に標準で搭載されている Windows ファイアウォール を使うことで、追加投資なく実現できます。





[おまけ] 一般的なセキュリティ対策2つ

ウイルスメールの Emotet 感染経路ではなく、Windows 環境でネットサーフィン中に ”ウェブサイトを見る” という他愛のない行為だけでマルウェア Emotet などが強制インストールされる被害を防ぐ有効なセキュリティ対策は?

  1. 定例更新の Windows Update は実施してある?
    https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx

  2. ブラウザアドオン Adobe Flash Player は最新版に更新してある?
    https://get.adobe.com/jp/flashplayer/about/

ひとすらウイルス攻撃者と ”イタチごっこ” しているセキュリティソフトを過大に期待してすべてを託し、有効な無料ウイルス対策を行わないで放置していると、Emotet に限らずウイルス、トロイの木馬、スパイウェア、ランサムウェアなどに餌食になる悲惨な末路を迎えます。

Emotet ウイルスメール関連トピックス

ヒューマンエラー(人為的ミス)を引き起こすことが確実な人間に対して、『怪しいEメールを開くな』(←無理) といった自力で見抜いて気合でどうにか頑張れ的な似非ウイルス対策で済ませていたら ダメ です。


ウイルスメール注意喚起ページ

公益財団法人東京都保健医療公社が運用する端末等に対する不正アクセス被害の発生による、メールアドレス等の個人情報の流出と対応について - 東京都
http://www.metro.tokyo.jp/tosei/hodohappyo/press/2019/06/07/06.html

大阪大学を騙る不審メールについてのお知らせとお詫び - 大阪大学
https://www.osaka-u.ac.jp/ja/news/topics/2019/10/03_01

弊社名での迷惑メールに関するお詫び及び注意喚起のお願い - クレトイシ
https://www.kgw.co.jp/news/43.html

Emotetマルウエアに注意!!! - 芝浦工業大学
http://www.sic.shibaura-it.ac.jp/news/?20191019-01

首都大学東京の教職員を騙る不審メールについて - 首都大学東京
https://www.tmu.ac.jp/news/topics/22442.html
http://www.comp.tmu.ac.jp/tmuner/2019/10/post-142.html

https://www.haruta-gold.com/info_new/2893/
https://www.haruta-masatake.ues.tmu.ac.jp/info/82.html


神戸大学構成員を騙る不審メールについてのお知らせとお詫び - 神戸大学
https://www.kobe-u.ac.jp/NEWS/info/2019_10_24_01.html
http://www.med.kobe-u.ac.jp/center/


Kasai-Tradingを騙る迷惑メールについて - 笠井トレーディング
http://kasai-trading.jp/notice.htm

パソコンのウイルス感染による情報流出の可能性に関するお知らせとお詫び - ニッポンレンタカー
https://www.nipponrentacar.co.jp/info/201911.html

東京商工会議所を装った「なりすましメール」にご注意ください - 東京商工会議所
https://www.tokyo-cci.or.jp/page.jsp?id=1020279

当社フィリピン子会社におけるPCのウイルス感染について - 双葉電子工業
http://www.futaba.co.jp/info/201911_incident

イオングループの従業員を騙る不審なメールについてのお知らせ - イオン
https://www.aeon.info/important/

当社社名等をかたった迷惑メール、詐欺メールにご注意ください - 日本アクセス
https://www.nippon-access.co.jp/news/

不正プログラム混入による情報窃取被害に関するお知らせとお詫び - 白亜ダイシン
https://www.northfarmstock.com/

迷惑メール・詐欺メールにご注意ください - 千葉県公式観光情報サイト
http://maruchiba.jp/oshirase/1128-20.html

わが社社員名等を騙った不審メールに関する注意喚起 - 三菱食品
https://www.mitsubishi-shokuhin.com/topics/

当JAを騙ったウイルスメールにご注意ください - JA上伊那
https://www.ja-kamiina.iijan.or.jp/info/2019/11/ja-133.php

なりすましメールにご注意下さい! - 旅館 大正屋
https://www.taishoya.com/2019/11/22/

当社を装ったメールが送信されていることについてのご報告 - アプリグッド
https://appgood.jp/

迷惑メール(なりすましメール)に関するお詫びと注意喚起 - 京都市観光協会
https://www.kyokanko.or.jp/news/20191125/

マルウエア Emotet の感染に関する注意喚起 - JPCERT/CC
https://www.jpcert.or.jp/at/2019/at190044.html

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて - IPA 情報処理推進機構
https://www.ipa.go.jp/security/announce/20191202.html


関連するマルウェアのセキュリティソフト検出名

Emotet 攻撃者はセキュリティソフトのウイルス定義データで検出されない新鮮な亜種を随時投入しています。

仮に Windows PC が Emotet に感染しても、追ってセキュリティソフトに邪魔(駆除)されないよう、自分自身を一日に複数回更新し続けて最新バージョンを維持する仕組みになっています。

【マルウェア Emotet 実行ファイル .exe】

ESET Win32/Emotet Win32/Kryptik
https://www.virusradar.com/en/Win32_Emotet/detail

Kaspersky Trojan-Banker.Win32.Emotet HEUR:Trojan-Banker.Win32.Emotet Trojan.Win32.Emograbber Trojan-PSW.Win32.Emostealer Trojan.Win32.Emospam FireflyFramer
https://threats.kaspersky.com/ja/threat/Trojan-Banker.Win32.Emotet

McAfee RDN/Emotet-Dropped

Microsoft Trojan:Win32/Emotet TrojanDownloader:Win32/Emotet
https://www.microsoft.com/en-us/wdsi/threats/threat-search?query=Win32/Emotet

Symantec Trojan.Emotet Trojan.Emotet!g4 Trojan.Emotet!g5 Trojan.Emotet!g6 Trojan.Emotet!g7 Trojan.Emotet!g8 Firefly
https://www.symantec.com/security-center/writeup/2017-071312-0253-99

Trend Micro TrojanSpy.Win32.EMOTET TrojanSpy.Win32.EMOTET.SMTHBGA.hp Trojan.JS.EMOTET TSPY_EMOTET
https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/search/trojanspy.win32.emotet
【マクロウイルス Wordファイル .doc】

ESET VBA/TrojanDownloader.Agent.MUV VBA/TrojanDownloader.Agent.QMF VBA/TrojanDownloader.Agent.QMI VBA/TrojanDownloader.Agent.QMK VBA/TrojanDownloader.Agent.QOQ VBA/TrojanDownloader.Agent.QPI VBA/TrojanDownloader.Agent.QPK VBA/TrojanDownloader.Agent.QPQ VBA/TrojanDownloader.Agent.QPV VBA/TrojanDownloader.Agent.QQC VBA/TrojanDownloader.Agent.QQD VBA/TrojanDownloader.Agent.QQS VBA/TrojanDownloader.Agent.QQT VBA/TrojanDownloader.Agent.QQX VBA/TrojanDownloader.Agent.QRH VBA/TrojanDownloader.Agent.QRK VBA/TrojanDownloader.Agent.QRO VBA/TrojanDownloader.Agent.QRR VBA/TrojanDownloader.Agent.QSB VBA/TrojanDownloader.Agent.QSL VBA/TrojanDownloader.Agent.QSM VBA/TrojanDownloader.Agent.QSO VBA/TrojanDownloader.Agent.QTG VBA/TrojanDownloader.Agent.QTM VBA/TrojanDownloader.Agent.QUD VBA/TrojanDownloader.Agent.QUF VBA/TrojanDownloader.Agent.QWE VBA/TrojanDownloader.Agent.QWT GenScript

Kaspersky HEUR:Trojan.MSOffice.SAgent.gen HEUR:Trojan.Script.Generic Firefly

McAfee W97M/Downloader.xx W97M/Downloader.ip W97M/Downloader.zu RDN/Generic Downloader.x Firefly

Microsoft TrojanDownloader:O97M/Emotet.RP!MTB TrojanDownloader:O97M/Emotet.GF!MTB TrojanDownloader:O97M/Emotet.RO!MTB TrojanDownloader:O97M/Emotet.RK!MTB TrojanDownloader:O97M/Emotet.RS!MTB TrojanDownloader:O97M/Emotet.RU!MTB TrojanDownloader:O97M/Emotet.RQ!MTB TrojanDownloader:O97M/Emotet.RV!MTB TrojanDownloader:O97M/Emotet.RW!MTB TrojanDownloader:O97M/Emotet.RX!MTB TrojanDownloader:O97M/Emotet.SA!MTB TrojanDownloader:O97M/Emotet.SC!MTB TrojanDownloader:O97M/Emotet.SD!MTB TrojanDownloader:O97M/Emotet.SH!MTB TrojanDownloader:O97M/Emotet.SL!MTB TrojanDownloader:O97M/Emotet.SM!MTB TrojanDownloader:O97M/Emotet.SN!MTB TrojanDownloader:O97M/Emotet.SO!MTB TrojanDownloader:O97M/Emotet.SP!MTB TrojanDownloader:O97M/Emotet.SQ!MTB TrojanDownloader:O97M/Emotet.SR!MTB TrojanDownloader:O97M/Emotet.SS!MTB TrojanDownloader:O97M/Emotet.SU!MTB Trojan:O97M/Sonbokli.A!cl Trojan:Script/Casur.A!cl Trojan:Script/Oneeva.A!ml Trojan:Script/Conteban.A!ml Trojan:O97M/Foretype.A!ml

Sophos Mal/DocDl-K Troj/DocDl-WPY Troj/DocDl-WPZ Troj/DocDl-WSP Troj/DocDl-WSQ Troj/DocDl-WTG Troj/DocDl-WTH Troj/DocDl-WTQ Troj/DocDl-WTZ Troj/DocDl-WUZ

Symantec W97M.Downloader ISB.Downloader!gen186 ISB.Downloader!gen279 ISB.Downloader!gen334 Firefly

Trend Micro HEUR_VBA.O2 Trojan.W97M.POWLOAD.TIOIBEHQ Trojan.W97M.POWLOAD.TIOIBEHY Trojan.W97M.POWLOAD.TIOIBEID Trojan.W97M.POWLOAD.TIOIBEIA Trojan.W97M.EMOTET.JKBJ Trojan.W97M.EMOTET.JKBM Trojan.W97M.EMOTET.JKBJ Trojan.W97M.EMOTET.JKCA Trojan.W97M.EMOTET.JKCC Trojan.W97M.EMOTET.JKCO Trojan.W97M.EMOTET.JKCP Trojan.W97M.EMOTET.JKCW Trojan.W97M.EMOTET.JKCY Trojan.W97M.EMOTET.JKCZ TROJ_FRS Possible_SMPOWLOADBB4





関連キーワード忘備録

[エモテット 対策] [エモテット ノートン] [エモテット Mac] [エモテット ウイルスバスター] [エモテット スマホ] [エモテット iPhone] [エモテット メール] [エモテット ウィルス] [エモテット 添付ファイル] [エモテット 被害] [Emotet 対策] [Emotet とは] [Emotet ウイルス] [Emotet 日本] [Eemotet 感染経路] [Emotet Mac] [Emotet ESET] [Emotet ウイルスバスター] [Emotet ノートン] [Emotet カスペルスキー] [Emotet Norton] [Emotet iPhone] [Emotet メール] [Emotetto とは] [ウイルスメール 開いたら] [ウイルスメール 対策] [ウイルスメール 2019年] [ウイルスメール とは] [ウイルスメール 最新] [ウイルスメール 多い] [ウイルスメール 添付ファイル] [ウイルスメール 対策] [.doc とは] [.doc 開く] [.doc 拡張子] [doc ファイル] [Word ファイル 添付] [Word形式 とは] [Word形式 ファイル] [ワードファイル とは] …

関連するブログ記事