無題な濃いログ

セキュリティ情報、迷惑ソフト削除方法、ウイルスメール、Windowsのネタを書き出す日本語ブログです～ (*´ｗ｀*)ﾉ

2019年にヤフーブログのサービス終了で引っ越し移転～ (＾3＾)＜リンク切れアリ
昔の URL https://blogs.yahoo.co.jp/fireflyframer/

Scanned Image from a Xerox WorkCentre迷惑メールにウイルス付きで危険！

2014/03/08

Scanned Image from a Xerox WorkCentre迷惑メールにウイルス付きで危険！

イメージ 3

Image いらすとや

複合機・スキャナ機器から『紙の文書をスキャンしてPDF文書に変換したよ』ってなデータ受信通知を装う英語表記の 迷惑メール（スパムメール） が不特定多数にバラ撒かれてます。

件名 Scanned Image from a Xerox WorkCentre
Please open the attached document. It was scanned and sent to you using a Xerox WorkCentre Pro.
Sent by: *****
Number of Images: [数字]
Attachment File Type: ZIP [PDF]
WorkCentre Pro Location: Machine location not set
Device Name: [英数字]
Attached file is scanned image in PDF format.
Adobe(R)Reader(R) can be downloaded from the following URL: http：//www.adobe.com/

件名 Scanned Image from a Xerox WorkCentre
You have a received a new image from Xerox WorkCentre.
Sent by: scanner＠[メールアドレスの一部]
Number of Images: [数字]
Attachment File Type: PDF
WorkCentre Pro Location: Machine location not set
Device Name: scanner＠[メールアドレスの一部]
Attached file is scanned image in PDF format.

この Xerox WorkCentre Pro はコピー＋プリンタ＋スキャナ機能を持つゼロックス製複合機として実在しており、『添付のドキュメントを開いてください』と誘惑する流れです。

www.google.co.jp/search?q=WorkCentre&tbm=isch

特に日本人を狙ったメールではありません。

それでも、Yahoo! JAPAN の関連検索ワードは次のようになっていて、日本国内でもメールを受信して正体を調べてるユーザーさんけっこういる？

イメージ 2

「scan from a xerox workcenter」
「scanned image from a xerox workcenter」

メールの添付ファイルはウイルス！

この迷惑メールには zip形式 や rar形式 の圧縮アーカイブ（拡張子 .zip / .rar）が添付されてます。

さっそく手動で解凍・展開してみたところ中身はこんな感じでした。

イメージ 1

PDF文書かな？拡張子がヤバい

アイコン画像の偽装に騙されるな

【メールの添付ファイル】
Scan_[数字]_[数字].zip
Scan001_[数字]_[数字].zip
　↓ 解凍・展開
Scan_[数字]_[数字].scr
Scan001_[数字]_[数字].exe

イメージ 6

イメージ 5

【メールの添付ファイル】
Scan_[数字]_[数字].rar
Scan_[数字]_[数字].zip
　↓ 解凍・展開
[数字].vbs
[数字].wsf

ウイルスメール対策で重要なポイントと言えるファイルの種類（拡張子）に注目すると、スクリーンセーバー、実行ファイル、スクリプトファイルでした。

実行ファイル … .exe
スクリーンセーバー … .scr
スクリプトファイル … .js .jse .vbs .wsf ← 注意
Officeファイル … .doc .docm .xls ← 注意

■ スマホは大丈夫？

なお、このウイルスメールはWindowsパソコン上でうっかり ダブルクリック して自爆感染させる攻撃手口です。

言い換えると Mac OS X、Androidスマホ、iOS（iPhone/iPad）、ガラケーは影響しないことになり大丈夫です。

■ ウイルスメールの対策

ウイルス対策に『怪しいメールを開くな』というフレーズをよく見かけます。

だた、そもそも ”怪しい” と見抜けないユーザーさんが被害にあうワケで、本当に大事なところは 添付ファイル や、その 拡張子 についての知識です。

○ ウイルスメール添付のZIP圧縮ファイル開いた？感染被害になる4つの流れ

添付ファイルのウイルス名は Upatre

（あくまで記事投稿時点）この実行ファイルの正体は Upatre の亜種の検体だけど、オンラインスキャンサイト VirusTotal にアップしてみると、ウイルス定義データでは後追い対応で後手に回ってます。

■ オンラインファイルスキャン VirusTotal の結果
www.virustotal.com/ja/file/2dd8cd8c9676c25b5ef85624b32feb3a33bb42cc278dc4e3147105f60d92c5f4/analysis/1395848423/

Upatre はダウンローダ型トロイの木馬で、何かしら別のマルウェア（よく知られてるのが Zbotウイルス）をダウンロードしてきて起動する運び屋の機能です。

このZbotウイルスはさらにファイル暗号化して破壊し復元できなくするランサムウェア（BitCrypt、CryptoDefense、CryptoWall、CryptoLocker など）を感染させるようです。

関連するブログ記事

・複合機の受信通知を装ったウイルスメールマクロ悪用Word文書doc付き

・ Scanned image/document from迷惑メールでウイルス感染スキャンデータ装う実例
・ pdfファイル添付の迷惑メール実例マクロウイルス開いて感染対策は？

タグ：: Windows

コメント

コメントフォーム

名前

コメント

評価する

リセット

リセット

顔

星

情報を記憶

↑このページのトップヘ