Fax message受信通知を装ったウイルス付き迷惑メール 実行ファイル添付
先週らへんにバラ撒かれた英語表記な迷惑メール(スパムメール)の紹介です。
メール本文はわずか2行とシンプルすぎだけど、業務パソコンで受信でした日にゃダマサれること請け合いインターネットFaxの受信通知を装ってます。 

件名 FAX #[数字]
Fax message
Sent date: [曜日], [日] Apr 2015 [時刻]
メールの添付ファイルはZIP形式の圧縮ファイルで、解凍してみたら中身はWindows向け実行ファイル(拡張子 *.exe)でした!

アイコン画像の偽装もない実行ファイル
Fax_[数字].zip
↓ 解凍
Fax_[数字].exe
ウイルス対策の基本だけども、必ずしも徹底できてないユーザーがやはりいるファイルの拡張子を表示して注意を払うのはとても大事だと分かります。
今回は行われてないけど、Faxの受信データと思い込ませてユーザーにキッチリ踏み抜いてもらうため
- ファイルの形式をスクリーンセーバー(拡張子 .scr)にする
- 実行ファイルのアイコン画像をPDF文章っぽく変更して偽装する
といったことも、ウイルスメールではよく見られる手口なので注意! 

◇ 同一の攻撃者が仕掛けてると思われるウイルスメール
・ 女性の名義で写真を見るよう促す迷惑メール Hola my photo
・ 米国の永住権グリーンカードの当選通知を装った迷惑メール
・ Amazonの商品注文確認通知を装った迷惑メール Order Details
・ 米国の永住権グリーンカードの当選通知を装った迷惑メール
・ Amazonの商品注文確認通知を装った迷惑メール Order Details
ウイルスの正体は「Recslurp」
オンラインスキャンサイト VirusTotal の情報を見てみると、この偽装ファイルは Recslurp というウイルス検出名になってます。
> ttps://www.virustotal.com/ja/file/e8bed63391fcdbbca38d810c842ab0ee20a05bddcc31e16a2e0bb16b6d2b8dd0/analysis/1429698559/
TrojanDownloader:Win32/Recslurp.B
> http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=TrojanDownloader:Win32/Recslurp.B
> http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=TrojanDownloader:Win32/Recslurp.B