INCOMING FAX REPORTウイルス付き迷惑メールが危険! Zbotやランサムウェア感染被害
{{{ 更新 2015年2月 }}}
インターネットファックスの受信通知を装った英語表記の迷惑メール(スパムメール)にご注意ください! <Windowsパソコンがターゲット!
件名 Fax Report / INCOMING FAX REPORT : Remote ID: [数字] / Incoming Fax / eFax Report
送信者 no-reply @ fax-report.com / no-reply @ efax.co.uk
************INCOMING FAX REPORT
************Date/Time: Monday, 15.09.2014
Speed: 188bps
Connection time: 06:08
Page: 4
Resolution: Normal
Remote ID: 153-853-75325
Line number: 8
DTMF/DID:
Description: Internal only
この迷惑メールには、怪しいZIP形式の圧縮ファイルが添付されてます。
解凍してみると、中身が 実行ファイル (拡張子 *.exe)、または スクリーンセーバー用実行ファイル (拡張子 *.scr) になってるパターンです。 <自爆感染狙い!
fax[数字].zip
↓ 解凍
fax[数字].scr
fax[数字].exe
IncomingFax.zip
↓ 解凍
IncomingFax.scr
fax[数字]-[数字].scr
fax_[数字]-[数字]-数字.zip
↓ 解凍
FAX_[数字].scr
fax_[数字]-[数字]-[数字].scr
<追記始め>
添付ファイルではなく、メール本文中に誘導リンクが用意されてあって、これを踏ませてファイルをダウンロードしてもらうパターンも確認してます。
《前半略》
We have uploaded fax report on dropbox, please use the following link to download your file:
http:// ~ /dropbox/document.php
.
document_[数字]_pdf.zip
↓ 解凍
document_[数字]_pdf.exe
document[数字].zip
↓ 解凍
document[数字].scr
FAX-id[数字].zip
↓ 解凍
FAX-id[数字].scr
SecureMessage.zip
↓ 解凍
SecureMessage.scr
<追記終わり>
ユーザーにファイルをダブルクリックしてきっちり踏み抜いてもらうダマしの手口として、アイコン画像がPDF文書っぽく偽装されてます。
ファイルの拡張子に注意を払うのは、ウイルス対策としてものすごく重要であることが分かりますね。
何もマルウェアを解析するような技術的な知識なくてもできる対策です。
コンピュータウイルスを起動してしまうと?
この実行ファイルの正体はなんでしょ?
ウイルスパターン1
ファイルの正体は Win32/Upatre というダウンローダ型トロイの木馬です。
仮にもユーザーがうっかり起動してしまうと、GameOver ZeuS として知られるネットバンキングウイルス Win32/Zbot をダウンロードしてきて感染させます。
ウイルスパターン2
ファイルの正体は Win32/Crowti (CryptoWall/HELP DECRYPT) というトロイの木馬です。
身代金型ウイルス「ランサムウェア」で知られるシロモノで、感染したWindowsパソコンに存在するファイルを暗号化(事実上の破壊)して人質にとり、元に復旧・復元したいなら身代金を支払うよう脅すコンピュータウイルスになります。
ウイルスパターン3
ファイルの正体は Win32/Upatre というダウンローダ型トロイの木馬です。
セキュリティソフト対応状況
こういうセキュリティ対策ソフトたちはウイルス定義データを更新して後を追って対応してます。 <セキュリティ会社は後出しジャンケン
↓上で言うウイルスパターン2のランサムウェア亜種検体なんだけどね…
● VirusTotalのウイルススキャン結果
ttps://www.virustotal.com/ja/file/e0ab3b58b1e2f14e99f926fa4db584646728f3e4c74f0919b4d32832902707c8/analysis/1411389951/
ということで、タイミング次第ではメール着弾直後にファイルスキャンしても脅威とは必ずしも判断してくれない場合があるのでご注意くだされ!