Facebook迷惑メール友達タグ付け写真はウイルス スクリーンセーバーファイルで危険

Facebook から何か英語表記のメールが来ました~。<お友達が写真にあなたのタグ付けをしたよってな通知

イメージ 1
Facebookを名乗る迷惑メール! 目的はPCウイルス感染

件名 Facebook
送信者 Facebook

facebook
A friend tagged you in a photo
Chris Thomas
View photo
Thanks , The Facebook Team

メール本文の中で ”顔のシルエット” と「Chris Thomas」「View photo」 の計3ヶ所が誘導リンクになってるので、うっかりではなくポチッとクリックし踏んでみると… ナゾのファイルがダウンロードされました。

イメージ 2
ファイル名「Image477.scr

MD5 f47b209aa25c3426286be59241c54080
www.virustotal.com/ja/file/daa8c6c1ca41044a3da2b00e50eb8cbb78765fccc5bfb64c843def7c6bf5c40b/analysis/1422708783/

どう見てもヤバい!

ファイルの形式はスクリーンセーバー

Windowsパソコンのウイルス対策で基本中の基本だけど、常に ファイルの拡張子を表示し注意を払うスクリーンセーバー(拡張子 .scr) であることが一瞬で分かります。<内部的に 実行ファイル(拡張子 .exe) と同等の形式

JPEG形式の 写真と誤認させるためアイコン画像を偽装 するトラップを用意してWindowsユーザーをうまくダマそうとしてます。 <悪質で嫌らしい

仮に 人気セキュリティソフト の検出対応が間に合っておらず何かしらマルウェアの知識を持ち合わせてなくても、拡張子を見る ことで ウイルス感染攻撃を企む迷惑メール と判断できます。


スクリーンセーバーの正体はランサムウェア

ちなみに、このスクリーンセーバーのファイルを仮にもWindowsユーザーさんがポチポチっとダブルクリックして起動してしまうと?

特定の拡張子を持つファイルが次々と破壊されて開けなくなり、最終的に 暗号化したファイルを元に戻すツール の購入名目で 身代金を支払うよう脅迫するメッセージ が提示されるワケです。 <身代金の支払手段は仮想通貨ビットコイン

Avast Win32:Malware-gen
AVG Inject2.BMZS
Avira TR/Injector.791854
BitDefender Trojan.NSIS.Androm.6
ESET Win32/Filecoder.CTBLocker.A
Kaspersky Trojan.NSIS.Inject.bi
Microsoft Ransom:Win32/Critroni
Symantec Infostealer.Limitail
Sophos Troj/Ransom-AQG
Trend Micro TROJ_CRYPCTB.YUY

この脅威の種類は 身代金型ウイルス(ランサムウェア) と呼ばれていて、具体的に ランサムウェア CTB-Locker というシロモノのようです。

関連するブログ記事
・ Facebook Videoスパム拡散対処法 偽YouTubeのChrome拡張ウイルスが危険!