パスワードZIP圧縮の中身が拡張子.vbeファイル ウイルス添付メール事例
 
チョイと珍しいトラップが施された英語表記な 迷惑メール(スパムメール)の事例を紹介するですます。
件名 Delivery confirmation form for purchase [英数字] from 30/04/15
Please fill out the attached form and return it to us.
Password protected a zip file archive contains your form.
Password : 3Sd2qQ1
Best regards, [人物名]
英文メールの内容は購入した商品の配達確認通知を装っていて、メールに添付してあるフォームから返信するよう要求してます。
 
そのフォームはZIP形式で圧縮されていて、パスワード付き圧縮ファイルになってるのが特徴で、本文中に解凍用の パスワード文字列 が書き出されてます。
 
パスワードが掛けられてるということは、セキュリティ製品でファイルスキャンされても中身のデータを認識できないので不正かどうか判定できないことに…。

添付ファイルは拡張子「.vbe」!? VBScriptのエンコード

パスワード(3Sd2qQ1)を反映させて圧縮ファイルを解凍してみると中身は…
 
イメージ 1
添付ファイルの中身 delivery_form.vbe
 
VBScript言語で書かれたテキスト形式のスクリプトファイル(拡張子 .vbs)をエンコードして変換したのが、VBScript Encoded Script ファイル(拡張子 .vbe)という種類です。
 
form.vbe
[fec0769a67fd5eed77e6c45d8b2bc0a8]
www.virustotal.com/ja/file/efa53e0d2498ef78c485f4edc28e1cf51e7bc0040a048b1a604ae060aab53927/analysis/1430490315/

delivery_form.vbe
[0cdda9c25af7f3ad590d09ebd17fe2bb]
www.virustotal.com/ja/file/a39dcdeb7982885e517228e7a8e2349e501ce1c5be7a87aa3f5ba2de5ff13d7f/analysis/1430490624/

for delivery.vbe
[0eed6dc53b968bb80f07cd5c30d37f82]
www.virustotal.com/ja/file/7d759c4026362c71996a1d5bb985f5996471170ce6811cb466004ad48b540f87/analysis/1430492824/
 
このスクリプトファイルをダブルクリックして起動してしまえば、何かしら不正な処理が発動することになるけど、試しにvbeファイルをWindowsの メモ帳 で開いてみても意味不明な文字の羅列…。
 
イメージ 2
 
そこでデコード処理を行ってどんな処理を行うか変換してみたら、URLアドレス(反転部分)からファイルをダウンロードしてきて、そのまま強制的に起動する動作になってました。 <ダウンローダ型トロイの木馬!
 
イメージ 3
 
www.virustotal.com/ja/ip-address/91.227.18.80/information/
 
調査した時点ではもはやファイルにアクセスできない状態…、オンラインスキャンサイト VirusTotal の情報によると下のWindows用実行ファイルだった模様。
 
www.virustotal.com/ja/file/b979554a3fe3982e2d7fe73c491c4badbf273323eeb611d44bd8cc20c5933e58/analysis/1430478827/
 
正体は「Dridex」「Dyre」「Dyreza」といったウイルス検出名が付けられてるネットバンキングウイルスです。
 

ウイルスメールの添付ファイルの定番は?

ウイルスメールの添付ファイルとして拡張子の定番は、実行ファイルとスクリーンセーバーです。
 
ただ、セキュリティソフトのスリ抜ける可能性が高い スクリプトファイルマクロウイルス に注意が必要です。 拡張子を注意を払わないユーザーさんダマされる!
ファイル拡張子 .vbe は珍しい方だけど、攻撃者も脳ミソを持った人間なので何とか感染攻撃の成功率を上げようとする努力してる一方、メールの添付ファイルに .vbe や .vbs といいうのは100%不自然な形式です。
 
関連するブログ記事