5万円台から♪<迷惑メール>Scanned Image Xerox WorkCentreウイルス感染注意
複合機プリンターから 「紙の文書をスキャンして PDF 文書に変換しました」 という、データ受信通知を装った英語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。 
不審メール件名 Scanned Image from a Xerox WorkCentre
Please open the attached document. It was scanned and sent to you using a Xerox WorkCentre Pro.
Sent by: *****
Number of Images: [数字]
Attachment File Type: ZIP [PDF] 無題な濃いログ
WorkCentre Pro Location: Machine location not set
Device Name: [英数字]
Attached file is scanned image in PDF format.
Adobe(R)Reader(R) can be downloaded from the following URL: http://www.adobe.com/
不審メール件名 Scanned Image from a Xerox WorkCentre
You have a received a new image from Xerox WorkCentre.
Sent by: scanner@[メール]
Number of Images: [数字]
Attachment File Type: PDF
WorkCentre Pro Location: Machine location not set 無題な濃いログ
Device Name: scanner@[メール]
Attached file is scanned image in PDF format
迷惑メールに登場する Xerox WorkCentre Pro という機器は、「コピー+プリンター+スキャナー」 の機能を持つゼロックス製の複合機として実際に販売されているものです。
特に日本をターゲットにした迷惑メールではないものの、Yahoo! JAPAN の関連検索ワードを確認すると、↓のようになっていることから、日本国内でも迷惑メールを受信したユーザーさんが正体をけっこう調べている感じ? 
「scan from a xerox workcenter」 ウイルス
「scanned image from a xerox workcenter」 メール
迷惑メールの添付ファイルはウイルス危険!
迷惑メールでは 「添付されている文書を開いてください」 と誘惑していて、実際に添付ファイルとして zip 形式、rar 形式の圧縮アーカイブ を受け取った形です。
この圧縮ファイルを手動で解凍・展開してみると、その中身はこんな感じでした~♪ 
PDF ファイル? 拡張子に注目せよ!
アイコン画像が偽装されていて危険!
【不審メールの添付ファイル詳細】
Scan_[数字]_[数字].zip
Scan001_[数字]_[数字].zip
↓ 解凍・展開する
Scan_[数字]_[数字].scr
Scan001_[数字]_[数字].exe
見た目で ”巻き物” のアイコンに騙されないで!
添付の正体は Windows スクリプト ファイル
【不審メールの添付ファイル詳細】
Scan_[数字]_[数字].rar
Scan_[数字]_[数字].zip
↓ 解凍・展開する
[数字].vbs
[数字].wsf
ウイルスメールとセキュリティ対策 で重要なポイントと言える ファイルの種類 (拡張子) に注目すると、添付ファイルは実際には文書ではなくて 「Windows スクリーンセーバー」 「Windows 用実行ファイル」 「Windows スクリプト ファイル」 なのでした。 
- 実行ファイル … 拡張子 .exe
スクリーンセーバー … 拡張子 .scr - Windows スクリプト ファイル … 拡張子 .js .jse .vbs .wsf ← 注意
- Office ファイル … 拡張子 .doc .docm .xls .xlsm ← 注意
完全に、Windows ユーザーさんを騙して、コンピュータ ウイルス感染させる攻撃です。 
■ スマホはウイルス感染大丈夫!?
この迷惑メールに添付されたコンピュータ ウイルスは、Windows パソコン上で不正なファイルをうっかり ダブルクリック させて自爆感染させる手口です。 
- Windows XP
- Windows 7
- Windows 8
言い換えると、この迷惑メールは macOS、Android スマホ、iOS (iPhone / iPad)、ガラケー、家庭用ゲーム機などでは、コンピュータ ウイルスの動作環境から外れて影響なし、となります。 
ウイルスメールのセキュリティ対策
ウイルス対策として 『怪しいEメールを開くな!』 というフレーズを巷でよく見かけます?ただ、現実には ”怪しい” と見抜けないユーザーさんがウイルス感染被害へ一直線というオチなので、セキュリティ対策として大事なことは添付ファイルの 拡張子 に関する知識でしょう。 
■ Upatre ウイルスから Zbot ウイルスやランサムウェア感染
記事投稿時の実行ファイルの正体は、トロイの木馬 Upatre の亜種でした。 
オンラインスキャンサイト VirusTotal に実行ファイルをアップしてみると、セキュリティ会社のウイルス定義データでの対応が後手に回っている ことが明らかですです。
【添付されている実行ファイル詳細】
MD5 974964e3e6e998bd4253587a0e81fe87
www.virustotal.com/ja/file/2dd8cd8c9676c25b5ef85624b32feb3a33bb42cc278dc4e3147105f60d92c5f4/analysis/1395848423/
-----
ESET Win32/TrojanDownloader.Waski.B
Kaspersky Trojan.Win32.Bublik.cdzh
Microsoft TrojanDownloader:Win32/Upatre.O
Trend Micro TROJ_UPATRE.YYKB
Upatre の役割は、別のマルウェア (よく知られてるのが Zbot ウイルス) をダウンロードしてきて起動する運び屋です。
感染した Zbot ウイルスは ファイルを暗号化するランサムウェア (BitCrypt、CryptoDefense、CryptoWall、CryptoLocker など) を感染させる症状が確認されています。
コメント