【危険】my new photo迷惑メール 写真装うウイルス感染手口と対策は?

イメージ 6

先月2014年8月から、photo と称したウイルスが添付されてる 迷惑メール(スパムメール) が結構しつこく着弾する? <まとまった数でドバッと受信する

件名 my new photo ;) / my new pfoto ;) / mi nueva foto;) / mis fotos en busca de amigos / my photo / Hey / Hola mi foto / Me new photo ;) / me new photo / Hola my photo / My photo / My photo, my pussy / Minhas fotos
送信者 emily / Julia Love / Yulia / anna / Allisa / jessica alba / Jessica / angelina / Jenifer / Marry / Juliya

my new photo ;)
if you like my photo to send me u photo
hi my new photo :) if u like my photo send me u
hola mi foto :)
Hi me new photo
hola my new photo , send u photo
My new photo , send u photo ;)
Minhas fotos ;)envie-me o seu
Mmy new photo pussy , send u photo

u = you
読みが同じことに由来するネットスラング

  • メール送信者の名義
    → ドコのダレとも知らん外国人女性の名前

  • メールの件名、本文
    → 1行ほどの短い内容で
    英語で 『私の新しい写真 (ニッコリ笑顔の顔文字)』『私の写真を確認して気に入ったらアナタの写真を送って』 といった感じに photo を見るよう誘う

メッセージで使われてる言語の多くは 英語 だけど、他にも スペイン語ポルトガル語 と思われる言葉を確認してます。 

添付ファイルは Windows を狙ったウイルス

開くよう仕向けてくる添付ファイルは、zip 形式の圧縮ファイルです。

この圧縮ファイルを手動で解凍・展開してみると、中身は Windows 向け実行ファイル(拡張子 .exe) でした。 <どう見ても写真 photo ではない!

イメージ 1

イメージ 2

イメージ 4
フォルダーやJPEG写真っぽくアイコンの偽装も

photo.zip
 ↓ 解凍・展開

photo.exe
my_photo.exe
photo_[数字].exe

iphone_photo.zip
 ↓ 解凍・展開

iphone_photo.exe
iphone_photo_id_[数字].exe
photo_iphone_my_life_[数字].exe
iphone_photo_my_life.exe
iphone_photo_my_love_[数字].exe
iphone_photo_my_[数字].exe
mi_foto.exe
iphone-photo_my_kiss[数字].exe

my_photo.zip
my_iphone_photo.zip
my_new_photo.zip
my_new_photo_[数字].zip
my_new_photo[数字].zip
 ↓ 解凍・展開

mi_photo.exe
1my_photo.exe
1my_photo_[数字].exe
my_photo_home_[数字].exe
1my_photo_iphone_[数字].exe
my_photo_id[数字].exe
my_photo_[数字].exe
my_new_photo.exe
my_new_photo_[数字].exe
my_new_photo[数字].exe
my_new_photo[数字] - Copy.exe
 
my.zip
 ↓  解凍・展開
my_ass_foto_[数字].exe
 
my_photo_sexy.zip
my_photo_sexyy.zip
my_sexy_photo.zip
 ↓ 解凍・展開
my_photo_sexy_[数字].exe
my_photo_sexyy.exe
my_sexy_photo.exe

minhas_fotos.zip
 ↓ 解凍・展開
minhas_fotos_[数字].exe

IMGpussy[数字].zip
my_pussy.zip
 ↓ 解凍・展開
IMG-pussy[数字]
.exe
img_pussy_[数字].exe
my_pussy_[数字]
.exe
my_photo_my_world.exe

<10月29日 追記始め>

圧縮ファイルではなく、アイコンを偽装した 実行ファイル(拡張子 .exe) がそのまま添付されてるウイルスメールも撒かれてます。

イメージ 3
 
イメージ 5

photo_my_new_iphone_[数字].exe
my_photo_holiday_my_ass_[数字]
.exe
my_new_photo_[数字].exe

<追記終わり...>


有名セキュリティソフトのウイルス定義データでの検出対応は、後手に回る ”イタチごっこ” 状態になってます?

【実行ファイルのウイルススキャン結果】
www.virustotal.com/ja/file/83d322707828350ba51301b1a0d02ee0c831b88bb9722036ade2b7d8827817cb/analysis/1410853192/
www.virustotal.com/ja/file/51e9e57c8890b538e626a6af0437c5b26635027404a5776e5ad42066f54cb139/analysis/1410794029/
www.virustotal.com/ja/file/51e9e57c8890b538e626a6af0437c5b26635027404a5776e5ad42066f54cb139/analysis/1410786949/
www.virustotal.com/ja/file/732c8a655e58d2d729a629c0b31c7883d20f37d22c4cb219e9fc2a1c4425f98c/analysis/1410777254/

つまり、メール着弾直後にウイルススキャンしても、添付ファイルそのものを脅威と判定しない恐れ があり注意が必要です。 <たいてい迷惑メールとして処理されるだろうけど

ウイルス対策は? 拡張子の確認を

「女性の写真かな?」 と思わせて、Windows ユーザーさんがポチポチッと実行ファイルをダブルクリックして開いたら感染アウト~!!!

写真ならば、ファイルの拡張子は一般的に .jpg でしょう。

  1. 拡張子を表示する設定 非表示が危険な1つの理由とウイルスメール対策
    http://fireflyframer.blog.jp/19063583.html

  2. 危険なファイルの拡張子一覧 js vbs wsf exe xls doc ウイルス判断
    http://fireflyframer.blog.jp/19063829.html


スマホはウイルス大丈夫?

なお、感染ターゲットは Windows パソコンだけです。

Mac OS X、Android スマホ、iOS(iPhone/iPad)、ガラケーといった環境は、.exe ファイルはいっさい動作しない形式だから大丈夫です。
関連するブログ記事