クラス会・同窓会の偽案内状メール実例 ウイルス感染攻撃の手口に注意!
もっともらしいクラス会・同窓会の案内状を装った日本語表記の 迷惑メール(スパムメール) を受け取ったという報告が複数挙がってます。 



最初は「出会い系サイト」あたりへ誘導するくだらないゴミメールなのかと思ったけど、そうではなく日本人をターゲットにした ウイルス感染攻撃 です。 

■ クラス会の案内状というメールが届きました
yahooのメールアドレスで私のアドレス帳には登録されていません
私のyahooメールに届いたのですが、こちらのアドレスは基本オープンにしておりません
まだ相手のメールアドレスを検索するとIDがあってオークションをされていました。プロフィールは記入がありませんでしたので知り合いか全くわかりません
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13136956513
■ yaeさんはTwitterを使っています: "こんな文章でクラス会の連絡きた事ないわ。いっつも個人のメールとか直電だし。幹事誰だよってかどのクラスだかこれじゃわかんねぇwww(最後に、場所などの詳細は以下からご覧くださいってリンク貼ってある)
https://twitter.com/HappygoluckyYae/status/522546753304670208
■ pipiさんはTwitterを使っています: "Gメールの迷惑メールフォルダをみたらクラス会のお知らせってメールが来ててしかも地図をダウンロードしろって書いてあるけどこれダウンロードしたらウイルスが入ってくるってオチなのかしら・・・。
https://twitter.com/pipi052/status/522274357721042944
この迷惑メールは正規のメールアカウントに攻撃者が不正アクセスして知り合い宛てに送信してる可能性があり、成りすましで意図せず加害者になったユーザーさんのお話も確認できました。 



■ Dub DesignさんはTwitterを使っています: "※お詫びとご注意※ 当方で使用中のGoogleアカウントへの不正アクセス及び拡張子scr(ウィルスを含む)が添付された【クラス会】の案内なるメールが無差別に発信されてしまいました"
https://twitter.com/DubDesignism/status/521862136646340608
■ shingo yaguchiさんはTwitterを使っています: "皆様ー! PCのアドレスのっとられました! 件名が「クラス会の案内状」というメールが矢口PCメールから届いたら開かないで削除してください!!! 御手数ですがよろしくお願いします"
https://twitter.com/shingo1982/status/521770509751427072
地図に同窓会案内と称しウイルスダウンロード
メールの内容は次のような日本語で記載されていて文法の不自然さはほぼなく、おかしい表現は「及び詳しはこちら~」のところぐらい? 

件名 クラス会の案内状
拝啓
初秋の候 皆様いかがお過ごしでしょうか?
久しぶりに地元でクラス会を開くことになりました。
皆が帰省している時期を利用して全国で活躍している仲間たちと旧交を温めようと思います。
当日は 恩師も出席なさいます。時を忘れ、じっくりと語り合いましょう。
ぜひとも万障お繰り合わせの上、ご参加下さいますようお願い申し上げます。
敬具
場所と地図、及び詳しはこちらからダウンロードしご覧ください 同窓会の案内
最後尾に誘導リンクが書き出されてあって、ポチッとクリックすると「同窓会案内.rar」なる圧縮アーカイブ(RAR形式)がダウンロードされます。
■ 迷惑メール クラス会のお知らせがきたよ|ひななおの日常
http://ameblo.jp/hinanao1984/entry-11939538598.html
http://ameblo.jp/hinanao1984/entry-11939538598.html


同窓会案内.scr
MD5 13490f96115bd706102616572fc41605
www.virustotal.com/ja/file/811a38e7d313a9d878275602ac111c65dc04662caf8b155ed5ae70a6f03e6ee0/analysis/1413427080/
malwr.com/analysis/ZmZiNzg2NWU2MTA2NDc0NWFkOWIzMWZkN2JlM2E0ZDc/
仮にもこの実行ファイルをダブルクリックして起動してしまうと、まともな動きをしておらずWindowsパソコンを狙いの コンピュータウイルス です。
マルウェア詳細メモ
■ ファイル
同窓会案内.rar
↓ ユーザーが展開・解凍する
同窓会案内.scr
| 自己解凍書庫 HaoZip を使用してる
1001_done!.exe [MD5 17c23022132f34aa6ab65f0c15887313]
dousoukai.doc
↓ ユーザーが展開・解凍する
同窓会案内.scr
| 自己解凍書庫 HaoZip を使用してる
1001_done!.exe [MD5 17c23022132f34aa6ab65f0c15887313]
dousoukai.doc
中国のオフィスソフト WPS Office で作成されてるダミー文書
C:\Program Files\doso\dousoukai.doc
マルウェア本体 - ファイル名は長さ6文字でアルファベット小文字のランダム生成
C:\Windows\system32\omumia.exe
C:\Windows\system32\omumia.exe
■ レジストリ (不正なサービス登録)
HKLM\System\CurrentControlSet\Services\Mnopqr Tuvwxyab Def\
Type = 00000010
Start = 00000002
DisplayName = Mnopqr Tuvwxyab Defghijk Mnop
ImagePath = C:\Windows\system32\omumia.exe
Description = Mnopqrst Vwxyabcde Ghijklm Opqrstuv Xya
Type = 00000010
Start = 00000002
DisplayName = Mnopqr Tuvwxyab Defghijk Mnop
ImagePath = C:\Windows\system32\omumia.exe
Description = Mnopqrst Vwxyabcde Ghijklm Opqrstuv Xya
■ C&C
tongji.est-a-la-maison[.]com:81 (112.213.124.168)
/count.asp?mac=**-**-**-**-**-**&ver=Fuck
gooqle.gotdns[.]com (27.255.84.101)
/count.asp?mac=**-**-**-**-**-**&ver=Fuck
gooqle.gotdns[.]com (27.255.84.101)
同窓会案内の圧縮ファイルがアップされてるサイト

koreakisa[.]initechbankinginfos[.]com (27.255.84.100)
ファイル置き場のドメイン名がユニークなので調べてみたら、元は中国のハッカーが韓国のユーザーを狙って銀行情報を盗むための不正サーバーみたい。 

■ 클릭원스(ClickOnce) 배포 방식을 이용한 인터넷뱅킹 정보 수집 주의 (2014.6.26) :: 울지않는벌새 : Security, Movie & Society
http://hummingbird.tistory.com/5456
http://hummingbird.tistory.com/5456
[2015年1月追記...]
この記事で紹介したウイルスメールとは別モノだけど、同窓会のお知らせと称して怪しい 出会い系サイト へ誘導する日本語迷惑メールも確認されてます。
コメント