RTFウイルス リッチテキストファイルに埋め込まれた支払伝票? 追跡番号?
 
{{{ 2015年1月 更新 }}}
 
英語表記の迷惑メール(スパムメール)に、ナゾのリッチテキスト文書(拡張子 *.rtf)が添付されてました。 <見た目で判断できないけど不正なファイル!
 
この手のウイルスメールの場合、多くは実行ファイル(拡張子 *.exe)か、スクリーンセーバー(拡張子 *.scr)、それを圧縮したZIPファイルが添付の定番だけど、これはちょい珍しめ。
 
イメージ 1 
PAYMENT PROCEDURE.rtf (=支払い手続き)
 
イメージ 5
TRACKING NUMBER.rtf (=追跡番号)
ワードパッド で開いてみた!
Windows 標準のワードパッドでRTF文書ファイルを開きました。
 
開いた直後に、セキュリティ警告『一部のコンテンツがブロックされています』が表示され、{ブロックの解除} or {OK} から選択するダイアログがー。
 
イメージ 3

リッチテキストファイル内部には…
 
PAYMENT SLIP.scr」(意味は「支払伝票」)なるスクリーンセーバー(拡張子 *.scr)、もう一方には「TRACKING NUMBER.exe」なる実行ファイル(拡張子 *.exe)が別に埋め込まれてることが分かりました。 <これがメインのマルウェア本体
 
 
イメージ 2
 
イメージ 6
 
この文書の上部には悪魔のメッセージによる指示があります。
 
Double click the file below then click on RUN to view your payment slip.
あなたの支払伝票を表示するには下のファイルをダブルクリックし、[実行]をクリックしてください。
 
Please double click the tracking number and then make sure you click on RUN to view
表示するため、追跡番号をダブルクリックし[実行]をクリックして確認してください
 
ただ、今回のRTFファイルの場合、なぜかワードパッドだとダブルクリックしても反応がなく起動できませんでした。(一部のコンテンツが機能しないの影響?)
Microsoft Office Word で開いてみた!
今度は、Word でRTF文書ファイルを開きました。
 
悪魔の指示通りにダブルクリックしてみたら、セキュリティの警告『発行元を確認できませんでした。このソフトウェアを実行しますか?』が表示されました。
 
イメージ 4
 
当然ながら、もしここで[実行]ボタンをポチっと押してしまたら終了! ウイルス感染アウトーッ!
 
警告も表示されるので最後まで誘導するには敷居が高いけど、中身を確認しなければならない使命感に駆られてしまう一部のユーザーさんは突き進んでしまう?
世界のセキュリティ・ラボから - リッチ・テキストによるマルウエア (ITpro、2007年)
http://itpro.nikkeibp.co.jp/article/COLUMN/20070611/274346/

不正なコントロールパネルファイルが添付されたスパムメールを確認 (トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/8348

RTFファイルを悪用する不正プログラムが増加 (トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/8603

Brazilian Bankers Gone Wild: Now Using Malicious Office Files (Kaspersky)
http://securelist.com/blog/research/57303/
 

日本でも確認されたウイルスメールの手口

英語メールなんて自分は無視するから関係ないし…