FaxサービスeFaxを装った英語の偽メール! 添付ファイルはウイルス

メールでファックスの送受信ができるインターネットFaxサービス eFax を装った英語表記のメール。。。
 
米国 j2 Global Communications が運営してるサービスで、日本にも進出しとります。

偽メールの件名 Corporate eFax message


http://img191.imageshack.us/img191/1140/efax.png
ロゴマークもパクってそれっぽく
「Faxデータを受け取ったから添付PDFを確認してね♪」

メールにはZIP形式の圧縮ファイルが添付されてました。
 
んが、解凍しようとしたところ、なぜかムリ!? ファイル内部をチェックしてみたら、オリジナルのファイル名があまりに長すぎて解凍エラーになってました。
 
efax-pdf_01C8346CDA4D-pdf.zip
 ↓ 解凍
efax_corporate_id_984569(~長すぎな数字の羅列~)631495.pdf.exe
 
ファイル名を故意に長くすることで、エクスプローラの表示で拡張子といった後ろ部分が隠れてしまうのを狙ったワケですが、攻撃者側のミス!

● BBB(Better Business Bureau)を装ったZeus/Zbotウイルス付き偽メールでファイル名を隠してる例

解凍したら中身がPCD文書っぽく偽装されてる実行ファイル

しょうがないので、中のファイル名を故意に短く変更してから解凍してやると、↓のファイルがでてきました。


PDF形式のように見せかけるため、アイコン画像を偽装&二重拡張子を施した実行ファイル(*.exe)です。
圧縮ファイルを解凍すると中身が…の定番となってる拡張子2種

(1) *.EXE → 実行ファイル
(2) *.SCR → スクリーンセーバー用実行ファイル
仮にもWindowsの設定で拡張子を非表示状態のままだと、まるでPDF文章に見えてしまうワケで、うっかりダブルクリックで自爆感染サヨウナラ!

ちなみに、このファイルの正体は Win32/Zbot (ZeuS)ウイルスのダウンローダのようです。

タグ :
ソフトウェア