Scanned Image from a Xerox WorkCentre迷惑メールにウイルス付きで危険!

Image いらすとや
複合機・スキャナ機器から 『紙の文書をスキャンしてPDF文書に変換したよ』 ってなデータ受信通知を装う英語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。 



件名 Scanned Image from a Xerox WorkCentre
Please open the attached document. It was scanned and sent to you using a Xerox WorkCentre Pro.
Sent by: *****
Number of Images: [数字]
Attachment File Type: ZIP [PDF]
WorkCentre Pro Location: Machine location not set
Device Name: [英数字]
Attached file is scanned image in PDF format.
Adobe(R)Reader(R) can be downloaded from the following URL: http://www.adobe.com/
件名 Scanned Image from a Xerox WorkCentre
You have a received a new image from Xerox WorkCentre.
Sent by: scanner@[メールアドレスの一部]
Number of Images: [数字]
Attachment File Type: PDF
WorkCentre Pro Location: Machine location not set
Device Name: scanner@[メールアドレスの一部]
Attached file is scanned image in PDF format.
この Xerox WorkCentre Pro はコピー+プリンタ+スキャナ機能を持つゼロックス製複合機として実在しており、『添付のドキュメントを開いてください』 と誘惑する流れです。
www.google.co.jp/search?q=WorkCentre&tbm=isch
特に日本人を狙ったメールではありません。
それでも、Yahoo! JAPAN の関連検索ワードは次のようになっていて、日本国内でもメールを受信して正体を調べてるユーザーさんけっこういる? 




「scan from a xerox workcenter」
「scanned image from a xerox workcenter」
メールの添付ファイルはウイルス!
この迷惑メールには zip形式 や rar形式 の圧縮アーカイブ(拡張子 .zip / .rar)が添付されてます。
さっそく手動で解凍・展開してみたところ中身はこんな感じでした。

PDF文書かな? 拡張子がヤバい

アイコン画像の偽装に騙されるな
【メールの添付ファイル】
Scan_[数字]_[数字].zip
Scan001_[数字]_[数字].zip
↓ 解凍・展開
Scan_[数字]_[数字].scr
Scan001_[数字]_[数字].exe


【メールの添付ファイル】
Scan_[数字]_[数字].rar
Scan_[数字]_[数字].zip
↓ 解凍・展開
[数字].vbs
[数字].wsf
- 実行ファイル … .exe
スクリーンセーバー … .scr - スクリプトファイル … .js .jse .vbs .wsf ← 注意
- Officeファイル … .doc .docm .xls ← 注意
■ スマホは大丈夫?
なお、このウイルスメールはWindowsパソコン上でうっかり ダブルクリック して自爆感染させる攻撃手口です。
言い換えると Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー は影響しないことになり大丈夫です。 



■ ウイルスメールの対策
ウイルス対策に 『怪しいメールを開くな』 というフレーズをよく見かけます。
だた、そもそも ”怪しい” と見抜けないユーザーさんが被害にあうワケで、本当に大事なところは 添付ファイル や、その 拡張子 についての知識です。 



添付ファイルのウイルス名は Upatre
(あくまで記事投稿時点)この実行ファイルの正体は Upatre の亜種の検体だけど、オンラインスキャンサイト VirusTotal にアップしてみると、ウイルス定義データでは後追い対応で後手に回ってます。 



■ オンラインファイルスキャン VirusTotal の結果
www.virustotal.com/ja/file/2dd8cd8c9676c25b5ef85624b32feb3a33bb42cc278dc4e3147105f60d92c5f4/analysis/1395848423/
Upatre はダウンローダ型トロイの木馬で、何かしら別のマルウェア(よく知られてるのが Zbotウイルス)をダウンロードしてきて起動する運び屋の機能です。 

このZbotウイルスはさらに ファイル暗号化して破壊し復元できなくするランサムウェア(BitCrypt、CryptoDefense、CryptoWall、CryptoLocker など) を感染させるようです。 

コメント