ノートパソコン dynabook が 
8万円から♪メール添付ファイルがUpatreウイルス Zbot/Cutwail感染の手口と対策は?
無題な濃いログ の記事 「迷惑メールの添付ファイルZIP圧縮? 展開解凍で拡張子.exe/.scrは危険」 の実例です。
実際の 迷惑メール(スパムメール) の添付ファイルとしてもたらされたコンピュータウイルス(ダウンローダー型トロイの木馬) を紹介しましょう。 
米国のコンピュータ関連機器の製造メーカー ヒューレット・パッカード(HP) を名乗ってたウイルスメールがコチラ!
件名 Important : Internal use ONLY
Please save the attached file to your hard drive before deleting this message. Thank you
件名 Scanned Image from a HP Digital Device
Please open the attached document. This document was digitally sent to you using an HP Digital Sending device.
This email has been scanned for viruses and spam
メール本文中の英語のメッセージで、添付されてる ”ドキュメント文書” を開くよう誘導しております。
最後に、セキュリティソフト のウイルス検査が済んでると偽装して 『このEメールはウイルスやスパム検査が完了してます』 なんてなデタラメなメッセージが記載されてあります。 
<攻撃者の仕込んだウソ情報
<攻撃者の仕込んだウソ情報ウイルスメールの添付ファイルは?
迷惑メールに添付されてるのはzip形式の圧縮アーカイブです。
圧縮されたままでは意味ないので、手動で解凍・展開作業を行って中身を確認すると、そのファイル形式は スクリーンセーバーの実行ファイル(拡張子 scr形式) なのでした。 
scan 数字 .scr
【ウイルス感染攻撃の手口】
添付ファイル付きの迷惑メールを受信
↓ メールを開く
添付されてるzipファイル
↓ 解凍・展開作業を行う
.exe ファイル や .scr ファイルが登場
↓ ポチポチっと開いて起動
ウイルス感染
この .scr ファイルは、Windows の実行ファイル(拡張子 .exe)と同等の形式なので、それこそメールの添付ファイルとして手に入れる場合は超注意が必要です。
さらに、実行ファイルのアイコン画像を PDF文書 であるかのよう偽装するトリックが施されており、Windows ユーザーさんをダマして文書と思い込ませて ”うっかり” ポチポチッと起動させる手口です。
b7ce56ddfca394b809c91ec7772c33b9
www.virustotal.com/ja/file/40320924030d8ead5bfd5d082432fad452c66cbe7287cedd119e81aa46df7347/analysis/1398285506/
■ セキュリティソフト対応状況
ESET Win32/TrojanDownloader.Waski.A
Kaspersky Trojan.Win32.Bublik.clmm
Microsoft TrojanDownloader:Win32/Upatre.V
Symantec Downloader
Trend Micro TROJ_UPATRE.SH
この Upatre ウイルスの目的は、何かしら別のマルウェアをダウンロードしてきて起動すること(ダウンローダ型トロイの木馬)だけで、その役目を終えたら自分自身を削除します。
Upatre が Zbot ウイルスをダウンロード
Upatre ウイルスがダウンロードしてきたファイルは Windows の一時フォルダーに ひっそり投下されて起動します。
ed7af6b3e8ec1ee424858d87e228856d
www.virustotal.com/ja/file/b055a054b604a0541006ff8cd2aebd40fd8277285e3f34910f97fa8d429b4304/analysis/1398275645/
■ セキュリティソフト対応状況
セキュリティソフト が定義するウイルス検出名は Zbot となるけど、ウイルス定義データでは亜種を脅威と検出できずに後追い状態です。
ESET Win32/Kryptik.CAKR
Kaspersky HEUR:Trojan.Win32.Generic
Microsoft PWS:Win32/Zbot!GO
Symantec Trojan.Zbot!gen75
Trend Micro TSPY_ZBOT.JDD
この Zbot ウイルスはネットバンキングウイルスとしても知られてる脅威で、感染マシンから機密情報を盗み取り、ボットネットの構築に一役買ってるようです。
今回は、別のマルウェアをダウンロードしてきて起動する処理も行われました。
Zbot が Cutwail ウイルスをダウンロード
Zbot ウイルスが追加でさらにダウンロードしてきたファイルが投下されます。
ab7347dd4c140ad46387eafeb8697c09
www.virustotal.com/ja/file/cab306f820bea6e7f4459a34c7435e4a004743c8a234c2acf199552ac14e22de/analysis/1398288447/
セキュリティソフト が定義するウイルス検出名は Cutwail となるけど、ウイルス定義データでは亜種を脅威と検出できずに後追い状態です。
ESET Win32/Kryptik.CAJW
Kaspersky HEUR:Trojan.Win32.Generic
Microsoft TrojanDownloader:Win32/Cutwail.BF
Symantec Backdoor.Trojan
Trend Micro BKDR_ANDROM.VA
この Cutwail ウイルスの役目は、感染した Windows PC を使って世界中に迷惑メール(スパムメール)を配信するゾンビマシンへと仕立て上げます。
つまりは、Zbot ウイルスに感染させたWindowsパソコンをせっせと生み出す一方、同じようなメールを世界中にバラ撒く目的となるようです。
もし Windows パソコンが用無しになると、目に見えて感染症状が現れる ランサムウェア(身代金要求型ウイルス) や 偽セキュリティソフト が送り込むことで金銭の支払いを行います。
・ Cutwail spam campaigns lure users to download various threats - Dell SonicALERT
https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=665
https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=665
・ Upatre: Emerging Up(d)at(er) in the wild - Microsoft
http://blogs.technet.com/b/mmpc/archive/2013/10/31/upatre-emerging-up-d-at-er-in-the-wild.aspx
http://blogs.technet.com/b/mmpc/archive/2013/10/31/upatre-emerging-up-d-at-er-in-the-wild.aspx
・ 2013年スパムメールに最も多く添付された「UPATRE」ファミリ 巧妙化する添付手法 - トレンドマイクロ
https://blog.trendmicro.co.jp/archives/8909
https://blog.trendmicro.co.jp/archives/8909
無料ウイルス対策
○ ファイルの拡張子が省略される Windows の仕様をすぐに止めて、拡張子が表示 されるよう Windows の設定を変更します
○ ファイルの拡張子の知識 を持つとともに、添付ファイルを解凍・展開で .exe / .scr ファイルが登場したらウイルス確定です (セキュリティソフトは必ずしも対応が間に合っておらず後手に回る場面あり)
○ 毎月定例更新の Windows Update を必ず実施します
○ Adobe Flash Player、Java/JRE(不必要なら削除)、Adobe Reader(不必要なら削除) の3点の最新版に維持するよう更新作業を徹底します
