履歴書zip/docxウイルス!? Officeの脆弱性を悪用する標的型メールで感染攻撃
オフィスソフト Microsoft Office などに存在する危険な 脆弱性(CVE-2013-3906) を悪用する Word文書ファイル を添付した Eメールによる標的型攻撃 が確認されたそう。
■ Microsoft Office 等の脆弱性(CVE-2013-3906)を悪用する国内の組織に対する標的型攻撃を確認 ~不審メールへの警戒、緊急対策の実施を~ IPA 情報処理推進機構
http://www.ipa.go.jp/security/topics/alert20131120.html
履歴書を装う文書ファイルのウイルス検出名は?
オンラインスキャンサイト VirusTotal には、この不正なWord文書ファイル(拡張子 .docx)と思しきブツがアップロードされてました。
履歴書.docxファイルサイズ 433,163 バイト
アップロード日 2013年11月
MD5ハッシュ値 d309dd0b886dfd71bb9d95fc592d63d3
avast! MW97:ShellCode-CK [Expl]
AVG Exploit_c.YWT
Avira EXP/CVE-2013-3906
BitDefender Exploit.CVE-2013-3906.Gen
ESET Win32/Exploit.CVE-2013-3906.A
F-Secure Exploit:W32/CVE-2013-3906.C
K7 AntiVirus Trojan ( 0001140e1 )
Kaspersky Exploit.MSOffice.CVE-2013-3906.a
McAfee Exploit-CVE2013-3906
Microsoft Exploit:Win32/CVE-2013-3906
Sophos Troj/DocDrop-AP
Symantec Trojan.Hantiff
TrendMicro TROJ_ACTIFF.C
AVG Exploit_c.YWT
Avira EXP/CVE-2013-3906
BitDefender Exploit.CVE-2013-3906.Gen
ESET Win32/Exploit.CVE-2013-3906.A
F-Secure Exploit:W32/CVE-2013-3906.C
K7 AntiVirus Trojan ( 0001140e1 )
Kaspersky Exploit.MSOffice.CVE-2013-3906.a
McAfee Exploit-CVE2013-3906
Microsoft Exploit:Win32/CVE-2013-3906
Sophos Troj/DocDrop-AP
Symantec Trojan.Hantiff
TrendMicro TROJ_ACTIFF.C
> www.virustotal.com/ja/file/943b15adb87d9c470c6350a5d30d047ffc3886d69e4922656a40a01220fe4383/analysis/1385007923/
その攻撃手口は、メールの添付ファイルとしてZIP形式の圧縮アーカイブを送りつけて、これを手動で展開・解凍した中身のWord文書ファイルを ダブルクリック して開くことで侵害されます。
【メールの添付ファイル】
履歴書.zip
↓ ユーザーが手動で展開・解凍する
履歴書.docx
ファイル名を工夫してユーザーをうまくダマすトリック…
- 履歴書.doc.scr
- 履歴書.pdf (~ものスゴイ長いスペース~) .exe
みたいにWindows向け 実行ファイル や スクリーンセーバー を装っておらず、表面的に不正なものと見抜くのが難しい docxファイル を採用できるというのは恐ろしいですな~。
特定の組織に侵入を試みたいサイバー犯罪者が、対外的に開かれてる公開メールアドレスに人事宛と称して ”履歴書” 名目でファイルを送る、というのは理にかなってます。
doc と docx の違いは?
ちなみに、Officeファイルの 拡張子「.doc」は従来のWord文書の形式で、「.docx」は Office 2007 から導入された新しい形式になります。
「.docx」は マクロの処理 を組み込むことができない制限もあるので、通常は安全と考えて問題ない種類だけど、このような脆弱性を突くと危ないことに。。。
<2013年12月 追記...>
Windows Update にて脆弱性 CVE-2013-3906 を解消する更新パッチが配信されましたー。 <無料ウイルス対策に更新を必ず!
■ Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される - マイクロソフト セキュリティ情報 MS13-096 - 緊急
https://technet.microsoft.com/library/security/ms13-096
https://technet.microsoft.com/library/security/ms13-096