Scanned Image from a Xerox WorkCentre迷惑メールにウイルス付きで危険!

イメージ 3
Image いらすとや

複合機・スキャナ機器から 『紙の文書をスキャンしてPDF文書に変換したよ』 ってなデータ受信通知を装う英語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
件名 Scanned Image from a Xerox WorkCentre
Please open the attached document. It was scanned and sent to you using a Xerox WorkCentre Pro.
Sent by: *****
Number of Images: [数字]
Attachment File Type: ZIP [PDF]
WorkCentre Pro Location: Machine location not set
Device Name: [英数字]
Attached file is scanned image in PDF format.
Adobe(R)Reader(R) can be downloaded from the following URL: http://www.adobe.com/
件名 Scanned Image from a Xerox WorkCentre
You have a received a new image from Xerox WorkCentre.
Sent by: scanner@[メールアドレスの一部]
Number of Images: [数字]
Attachment File Type: PDF
WorkCentre Pro Location: Machine location not set
Device Name: scanner@[メールアドレスの一部]
Attached file is scanned image in PDF format.
この Xerox WorkCentre Pro はコピー+プリンタ+スキャナ機能を持つゼロックス製複合機として実在しており、『添付のドキュメントを開いてください』 と誘惑する流れです。

www.google.co.jp/search?q=WorkCentre&tbm=isch

特に日本人を狙ったメールではありません。

それでも、Yahoo! JAPAN の関連検索ワードは次のようになっていて、日本国内でもメールを受信して正体を調べてるユーザーさんけっこういる?

イメージ 2
「scan from a xerox workcenter」
「scanned image from a xerox workcenter」

メールの添付ファイルはウイルス!

この迷惑メールには zip形式rar形式 の圧縮アーカイブ(拡張子 .zip / .rar)が添付されてます。

さっそく手動で解凍・展開してみたところ中身はこんな感じでした。

イメージ 1
PDF文書かな? 拡張子がヤバい

イメージ 4
アイコン画像の偽装に騙されるな

【メールの添付ファイル】
Scan_[数字]_[数字].zip
Scan001_[数字]_[数字].zip
 ↓ 解凍・展開
Scan_[数字]_[数字]
.scr
Scan001_[数字]_[数字].exe

イメージ 6

イメージ 5

【メールの添付ファイル】
Scan_[数字]_[数字].rar
Scan_[数字]_[数字].zip
 ↓ 解凍・展開
[数字].vbs
[数字].wsf

ウイルスメール対策で重要なポイント と言える ファイルの種類(拡張子) に注目すると、スクリーンセーバー、実行ファイル、スクリプトファイル でした。
スマホは大丈夫?

なお、このウイルスメールはWindowsパソコン上でうっかり ダブルクリック して自爆感染させる攻撃手口です。

言い換えると Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー は影響しないことになり大丈夫です。

ウイルスメールの対策

ウイルス対策に 『怪しいメールを開くな』 というフレーズをよく見かけます。

だた、そもそも ”怪しい” と見抜けないユーザーさんが被害にあうワケで、本当に大事なところは 添付ファイル や、その 拡張子 についての知識です。

添付ファイルのウイルス名は Upatre

(あくまで記事投稿時点)この実行ファイルの正体は Upatre の亜種の検体だけど、オンラインスキャンサイト VirusTotal にアップしてみると、ウイルス定義データでは後追い対応で後手に回ってます。

オンラインファイルスキャン VirusTotal の結果
www.virustotal.com/ja/file/2dd8cd8c9676c25b5ef85624b32feb3a33bb42cc278dc4e3147105f60d92c5f4/analysis/1395848423/

Upatre はダウンローダ型トロイの木馬で、何かしら別のマルウェア(よく知られてるのが Zbotウイルス)をダウンロードしてきて起動する運び屋の機能です。

このZbotウイルスはさらに ファイル暗号化して破壊し復元できなくするランサムウェアBitCryptCryptoDefenseCryptoWallCryptoLocker など) を感染させるようです。
関連するブログ記事