楽天市場ウイルス付き迷惑メール「2015/02/10日付ご注文」偽請求書RTFにご注意を!
去年2014年12月に発生したお話だけれど…
2月10日にネット通販サイト楽天市場(Rakuten)を勝手に名乗ったウイルス付き迷惑メール(スパムメール)が再び無差別にバラ撒かれたっぽい。 

件名 2015/02/10日付ご注文№[ランダム数字]
■ ぷりんさんはTwitterを使っています: "楽天からのメールにウィルスがある模様。 タイトルは今日の日付と注文No、本文は基本なし、添付ファイルにリッチテキストあり。 それは開いただけでは何にもならないけど、画像をダブルクリックすると起動するらしい。 直前で気付いてよかった。 みなさん気をつけて~!!"
https://twitter.com/20purin/status/565062351154470912
■ MASAMI-F@CTORYさんはTwitterを使っています: "昨年に続いて、楽天の偽メールが届いたが、すぐにごみ箱に捨てた。 ワードを開いたら確実にウィルスに感染されるだろうな。 今年になって楽天で注文したことがないから。"
https://twitter.com/masami_factory/status/565101022398255104
■ えかきどう(喪中)さんはTwitterを使っています: "基本Amazonで注文してるんだが 迷惑メールに"2015/02/10日付ご注文№39〜"なんてモンが来てた当然覚えがないので myinfo@rakuten.co.jp をググったら案の定楽天に偽装したサイトからの物だった"
https://twitter.com/E_K_D/status/565079448697851904
■ hikaru@ぷにぷち行くよ!さんはTwitterを使っています: "何か楽天名乗って謎の添付ファイル付きのメール来たんだけど… これダメなやつだろ絶対"
https://twitter.com/punichilove/status/565118799125311489
■ 離島ドットコムさんはTwitterを使っています: "きたきた!うちにも来ました。スパムメール。 「2015/02/10日付ご注文№????」 っていうか注文していないし、そもそも1MB近い添付有りのメールなんて怪しすぎ!(でもfromがmyinfo@rakuten.co.jp)"
https://twitter.com/ritoucom/status/565094084293844992
■ 高祖さんはTwitterを使っています: "2015/02/10日付ご注文№9321743 というタイトルで、 "Rakuten" <myinfo@rakuten.co.jp> というアドレスからメールが来た。"
https://twitter.com/tomkouso/status/565101764127379456
■ おつかさんはTwitterを使っています: "myinfo@rakuten.co.jpからrtfファイル添付したほぼ空の本文のメール届いた。メルアドで検索するとスパム情報がたくさん…。"
https://twitter.com/hohtsuka/status/565069133184638977
■ HVさんはTwitterを使っています: myinfo@rakuten.co.jp からinvoiceのrtfファイルが添付されたスパムが送られてきた。宛先が空欄なので見え見えのスパムだがいかにも本当にありそうなメアドから送られてきてるのは、踏み台にでもされたのかしらん。
https://twitter.com/sakamohv/status/565086904845357056
前回のウイルス感染攻撃でもそうだけど、偽メールには不正なファイルが添付されてて、この形式はWindows向けリッチテキスト(拡張子 *.rtf)です。

invoice_10_02_2015.rtf
インボイス ⇒ 「請求書」「確認書」といったもの
文書ファイルに埋め込まれた”領収証”名目のウイルス
これをユーザーが開くと、ファイルをダブルクリックして起動するよう日本語の誘導メッセージが表示されるので、その指示どうりに従ってしまえば感染アウトです。 


悪魔の言葉『画像をダブルクリックして領収証をお受け取りください。』
↓ ダブルクリック ↓

本当に「invoice.com」を実行するのか警告する確認ダイアログ
リッチテキストファイルの内部に”領収証”(→実際には不正なDOS実行ファイル)が組み込まれてる形です。
感染ターゲットはWindowsパソコンだけで、Mac OS、スマホ、携帯電話らへんは当然ながら対象範囲外になります。
<2月12日 追記...>
楽天からウイルスメールに関して注意喚起のアナウンスが出ました。
● 「invoice_10_02_2015.rtf」というファイルが添付されたメールにご注意ください - 【楽天市場】ヘルプ
http://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/26504
攻撃に使われたマルウェアは…
■ 濵田さんはTwitterを使っています: "楽天のmyinfo@rakuten.co.jpからの注文メールを装う不審メールはhttps://t.co/zh2QCoTVkbと同じ手口。埋め込まれたファイルを開くとマルウェアが裏でダウンロードされPCが感染する。"
https://twitter.com/JojiHamada/status/565814717558423552
■ 濵田さんはTwitterを使っています: "マルウェアが使用しているWEBカウンターが正しければ、3000人ほどが感染している可能性がる。"
https://twitter.com/jojihamada/status/565821643319029760
偽メールに添付されてた不正なRTFファイルと、埋め込まれてたDOS実行ファイルのウイルス検出名…
MD5 221a1377ccd41553b16ba2a09546683c
https://www.virustotal.com/ja/file/c2758245cbe7fe0fa586267f79de36a8960622074f6b95db2d633df31d301363/analysis/1423556610/
↓
MD5 3db100e20ef6741bd4d1ef2efe3a75aa
https://www.virustotal.com/ja/file/c004beecc36f461d1c62d27b4055cdb3d608c9de8523aacbc3ab55648c9dce53/analysis/1423573283/
<4月 追記...>
2014年12月の攻撃 TROJ_WERDLOD.A (トレンドマイクロ)
2015年2月の攻撃 TROJ_WERDLOD.B TROJ_WERDLOD.C TROJ_WERDLOD.D(トレンドマイクロ)、Trojan:Win32/Zapis.A (マイクロソフト)。
・ 日本を標的とする新たなオンライン銀行詐欺ツール「WERDLOD」の手口を解説 (トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/11258
・ TROJ_WERDLOD.B | 危険度: 低 | トレンドマイクロ:セキュリティ情報
http://about-threats.trendmicro.com/Malware.aspx?language=jp&name=TROJ_WERDLOD.B
・ TROJ_WERDLOD.C | 危険度: 低 | トレンドマイクロ:セキュリティ情報
http://about-threats.trendmicro.com/Malware.aspx?language=jp&name=TROJ_WERDLOD.C
・ TROJ_WERDLOD.D | 危険度: 低 | トレンドマイクロ:セキュリティ情報
http://about-threats.trendmicro.com/Malware.aspx?language=jp&name=TROJ_WERDLOD.D
・ Trojan:Win32/Zapis.A - Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Trojan:Win32/Zapis.A
・ RDN/Generic.dx!djf!3DB100E20EF6 | Virus Profile & Definition | McAfee Inc.
http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=9581043
マルウェアには、海外のアクセスカウンター(EasyCounter.com)に接続する処理が2回あるけど、そこは 約4,200 と 約3,900 という数値になってます。 

トレンドマイクロ情報でブラウザに設定される不正なプロクシのURLアドレス…
//???.7.143.68:8080/ proxy.pac
//5.196.200.228:8080/ proxy.pac
//5.196.200.228:8080/ proxy.pac