ノートパソコン dynabook が 
8万円から♪ゾンビウイルスWERDLOD!? 添付ファイル付き迷惑メールとエメンタル作戦
{{{ 2015年9月 更新 }}}
スウェーデン語「領収書を表示するには画像をダブルクリックしてください」
RTFファイルに埋め込まれたマルウェアの手口
地理的には欧州のスイス、オーストリア、スウェーデン、ドイツ、そして日本を狙ってネットバンキングやポータルサイトの情報を狙う一連の攻撃… 
- Trend Micro
→ Operation Emmental エメンタル作戦(エメンタール作戦) / TROJ_WERDLOD - Microsoftなど → Retefe Trojan:Win32/Retefe TrojanDownloader:Win32/Retefe
- Symantec → Trojan.Retefe Downloader.Tenirem
- IBM → Tsukuba
攻撃の入り口はウイルスメール! 添付ファイルの例
※ 赤文字は日本のユーザーを狙った攻撃で確認された手口
基本的にWindowsパソコンがターゲットで、加えて日本以外の地域だとAndroidスマートフォンも対象になった事例が過去にあるっぽい? ちなみに、Mac OS、iOSスマートフォン、ガラケーなんかは攻撃対象外!
攻撃に関連する記事をピックアップ
《2014年2月》
■ A close look at a targeted attack delivery - Microsoft Malware Protection Center
http://blogs.technet.com/b/mmpc/archive/2014/02/27/a-close-look-at-a-targeted-attack-delivery.aspx
■ Trojan:Win32/Retefe.A TrojanDownloader:Win32/Retefe - Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/threat/encyclopedia/search.aspx?query=Win32/Retefe
http://blogs.technet.com/b/mmpc/archive/2014/02/27/a-close-look-at-a-targeted-attack-delivery.aspx
■ Trojan:Win32/Retefe.A TrojanDownloader:Win32/Retefe - Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/threat/encyclopedia/search.aspx?query=Win32/Retefe
《2014年6月》
■ Win32/TrojanDownloader.Agent.AQH | ESET
http://www.virusradar.com/en/Win32_TrojanDownloader.Agent.AQH/description
http://www.virusradar.com/en/Win32_TrojanDownloader.Agent.AQH/description
《2014年7月》
■ Retefe Bankentrojaner | SWITCH Security-Blog
http://securityblog.switch.ch/2014/07/22/retefe-bankentrojaner/
http://securityblog.switch.ch/2014/07/22/retefe-bankentrojaner/
■ Finding Holes in Banking Security: Operation Emmental - Trend Micro
http://blog.trendmicro.com/trendlabs-security-intelligence/finding-holes-operation-emmental/
http://blog.trendmicro.com/trendlabs-security-intelligence/finding-holes-operation-emmental/
《2014年8月》
■ 2014年7月のウイルス脅威 7月のその他の脅威 Trojan Retefe - Dr.Web
http://news.drweb.co.jp/?i=765
http://news.drweb.co.jp/?i=765
《2014年9月》
■ 金融機関を狙うサイバー攻撃 「エメンタル作戦」の脅威 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/9669
http://blog.trendmicro.co.jp/archives/9669
《2014年10月》
■ CSIS: Retefe sets sails for Japan
■ Retefe with a new twist | SWITCH Security-Blog
http://securityblog.switch.ch/2014/11/05/retefe-with-a-new-twist/
http://securityblog.switch.ch/2014/11/05/retefe-with-a-new-twist/
《2014年12月》
■ 楽天市場を名乗る迷惑メール 請求書と称するウイルス危険! RTFファイル
https://blogs.yahoo.co.jp/fireflyframer/33151033.html
https://blogs.yahoo.co.jp/fireflyframer/33151033.html
■ 12月8日から急増の請求書偽装スパム、主な狙いは国内銀行15行の認証情報か? | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/10558
http://blog.trendmicro.co.jp/archives/10558
《2015年2月》
■ 楽天市場ウイルス付き迷惑メール「2015/02/10日付ご注文」偽請求書RTFにご注意を
https://blogs.yahoo.co.jp/fireflyframer/33271696.html
https://blogs.yahoo.co.jp/fireflyframer/33275813.html
■ 楽天市場ウイルス付き迷惑メール「2015/02/10日付ご注文」偽請求書RTFにご注意を
https://blogs.yahoo.co.jp/fireflyframer/33271696.html
https://blogs.yahoo.co.jp/fireflyframer/33275813.html
■ Trojan:Win32/Zapis.A - Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/threat/encyclopedia/search.aspx?query=Win32/Zapis
http://www.microsoft.com/security/portal/threat/encyclopedia/search.aspx?query=Win32/Zapis
《2015年3月》
■ Tsukuba: Banking Trojan Phishing in Japanese Waters - IBM Security Intelligence
http://securityintelligence.com/tsukuba-banking-trojan-phishing-in-japanese-waters
http://securityintelligence.com/tsukuba-banking-trojan-phishing-in-japanese-waters
《2015年4月》
■ TROJ_WERDLOD: Another Banking Trojan Targets Japan - Trend Micro
http://blog.trendmicro.com/trendlabs-security-intelligence/troj_werdlod-new-banking-trojan-targets-japan/
http://blog.trendmicro.com/trendlabs-security-intelligence/troj_werdlod-new-banking-trojan-targets-japan/
《2015年5月》
■ e-Banking Trojan Retefe still spreading in Switzerland - GovCERT.ch
http://www.govcert.admin.ch/blog/5/e-banking-trojan-retefe-still-spreading-in-switzerland
■ The Circle Around Retefe - CARO Workshop 2015
http://2015.caro.org/presentations/
http://www.govcert.admin.ch/blog/5/e-banking-trojan-retefe-still-spreading-in-switzerland
■ The Circle Around Retefe - CARO Workshop 2015
http://2015.caro.org/presentations/
《2015年6月》
■ 楽天市場迷惑メール「2015/25/06日付ご注文」ウイルス感染攻撃
https://blogs.yahoo.co.jp/fireflyframer/33540245.html
https://blogs.yahoo.co.jp/fireflyframer/33540245.html
《2015年8月》
■ 2015/08/17日付ご注文 楽天市場偽装ウイルス付き迷惑メールにご注意を
https://blogs.yahoo.co.jp/fireflyframer/33635828.html
https://blogs.yahoo.co.jp/fireflyframer/33635828.html
■ Retefe Banking Trojan Targets Sweden, Switzerland and Japan - Palo Alto Networks
http://researchcenter.paloaltonetworks.com/2015/08/retefe-banking-trojan-targets-sweden-switzerland-and-japan/
https://www.paloaltonetworks.jp/company/in-the-news/2015/retefe-banking-trojan-targets-sweden-switzerland-and-japan.html
http://researchcenter.paloaltonetworks.com/2015/08/retefe-banking-trojan-targets-sweden-switzerland-and-japan/
https://www.paloaltonetworks.jp/company/in-the-news/2015/retefe-banking-trojan-targets-sweden-switzerland-and-japan.html
■ TrojanDownloader:Win32/Tonnejoom.A TrojanDownloader:Win32/Tonnejoom!rfn - Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=TrojanDownloader:Win32/Tonnejoom.A
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=TrojanDownloader:Win32/Tonnejoom.A
《2015年9月》
■ Amazon.co.jpご注文の確認 ウイルス付き迷惑メールにご注意を
https://blogs.yahoo.co.jp/fireflyframer/33667446.html
https://blogs.yahoo.co.jp/fireflyframer/33667446.html
ブラウザのプロキシ設定の改ざん 確認方法
ブラウザのプロキシ設定が改ざんされ、攻撃者が用意した自動構成スクリプト のURLアドレスが指定されるっぽく。 
proxy.pac akamaihd.js akamaiproxy.js akamaijp.js
a2tunnel.js a2stunnel.js iutirutviucric.js 3desonnel.js securevpn.js
a2tunnel.js a2stunnel.js iutirutviucric.js 3desonnel.js securevpn.js
Internet Explorer (Google Chrome も兼務)
Proxy Auto-Config(PAC) ウィンドウ
【1】 Internet Explorer ブラウザのインターネットオプションを開く
【2】 [接続]タブの [LAN の設定(L)]ボタン をポチッとな
【3】 知らないうちに [自動構成スクリプトを使用する(S)] にチェックマークが入っていて、[アドレス(R)] の入力ボックスに不審な海外のURLアドレスが反映されてないか確認する
【2】 [接続]タブの [LAN の設定(L)]ボタン をポチッとな
【3】 知らないうちに [自動構成スクリプトを使用する(S)] にチェックマークが入っていて、[アドレス(R)] の入力ボックスに不審な海外のURLアドレスが反映されてないか確認する
Mozilla Firefox
インターネットに接続に使用するプロキシの設定
【1】Firefox ブラウザのオプションを開く
【2】[詳細]タブの「接続」項目にある [接続設定(E)...] ボタンをポチッとな
【3】知らないうちに [自動プロキシ設定スクリプト URL(A)] にチェックマークが入っていて、入力ボックスに不審な海外のURLアドレスが反映されてないか確認する
【2】[詳細]タブの「接続」項目にある [接続設定(E)...] ボタンをポチッとな
【3】知らないうちに [自動プロキシ設定スクリプト URL(A)] にチェックマークが入っていて、入力ボックスに不審な海外のURLアドレスが反映されてないか確認する
<2015年5月 追記...>
このウイルス感染攻撃を指してる記事が産経新聞から!
ただ、記事が具体的な情報に欠けるイマイチな内容となってるため、ユーザーにはモヤモヤな不安と恐怖を与えるだけ? 
<ゾンビウイルスって…
<ゾンビウイルスって…■ ネットバンキング利用者を狙う〝ゾンビウイルス〟…国内666件のサイバー攻撃を確認(1/2ページ) - 産経WEST
http://www.sankei.com/west/news/150503/wst1505030024-n1.html
記事の中にトレンドマイクロが出てくるけど、この攻撃についての15ページぐらいの調査レポート『Finding Holes: Operation Emmental』を読んでも、「ゾンビ」(Zombie)といった表現は登場しません。
★ 忘備録メモメモ~
◇ 共通? ⇒ Facebook、GMX、Google、Gmail、Microsoft、Yahoo! inc.
◇ オーストリア? ⇒ UniCredit Bank Austria、Raiffeisen
◇ 日本 ⇒ 三菱東京UFJ銀行、みずほ銀行、横浜銀行、千葉銀行、十六銀行、八十二銀行、中国銀行、ゆうちょ銀行、阿波銀行、第四銀行、北國銀行、武蔵野銀行、山形銀行、宮崎銀行、三井住友銀行、ジャパンネット銀行、楽天銀行、tracer.jp(?)
◇ オーストリア? ⇒ UniCredit Bank Austria、Raiffeisen
◇ 日本 ⇒ 三菱東京UFJ銀行、みずほ銀行、横浜銀行、千葉銀行、十六銀行、八十二銀行、中国銀行、ゆうちょ銀行、阿波銀行、第四銀行、北國銀行、武蔵野銀行、山形銀行、宮崎銀行、三井住友銀行、ジャパンネット銀行、楽天銀行、tracer.jp(?)
