Fax受信通知迷惑メール? 添付ファイルはjsウイルス Interfax received new documnet
欧州アイルランドの Interfax Communications Limited なるところが運営してるインターネットFaxサービス InterFAX から送信されてきたかのよう偽装した英語表記の迷惑メール(スパムメール)がー!
ちなみに、ロシア関連ニュースで名前を聞く Interfax 通信とは関係ないみたい。
件名 You have received fax, document [数字]
件名 You have received a new fax, document [数字]
件名 You have new fax, document [数字]
件名 You have 1 new fax, document [数字]
送信者 Interfax; Interfax Service; Interfax Online
You have a new fax!
Please download attached fax document.
File name: task_[数字].doc
Pages sent: *
File size: *** Kb
Resolution: *** DPI
Scan date: [年月日 時刻]
Sender: [人名]
Scanned in: ** seconds
Thank you for using Interfax!
You have a new fax!
Please check your fax document in the attachment to this e-mail.
Scanned: [年月日 時刻]
Resolution: *** DPI
Fax name: scanned_[数字].doc
Pages number: *
From: [人名]
Filesize: *** Kb
Processed in: ** seconds
Thanks for choosing Interfax!
You have received a new fax.
You can find your fax document in the attachment.
Date: [年月日 時刻]
Resolution: *** DPI
Scanned in: ** seconds
Sender: [人名]
File size: *** Kb
Pages sent: *
Filename: document-[数字].doc
Thank you for using Interfax!
You have received a new fax.
To view it please open the attachment.
Pages sent: *
Date of scan: [年月日 時刻]
Scanned by: [人名]
Processed in: ** seconds
Quality: ** DPI
Fax name: scan_[数字].doc
Filesize: *** Kb
Thanks for choosing Interfax!
You have a new fax!
Scanned fax document is attached to this email.
Sender: [人名]
Filesize: *** Kb
Processed in: ** seconds
Fax name: document_[数字].doc
Scanned at: [年月日 時刻]
Pages scanned: *
Scan quality: *** DPI
Thanks for choosing Interfax!
Faxの受信データとして Word文書ファイル(拡張子 *.doc) を確認するよう誘導していて、メールにはZIP形式の圧縮ファイルが添付されてます。
中身は不正なJavaScriptウイルス!
さっそくこれを解凍してみると、二重拡張子 のトリックを施した JavaScript/JScriptファイル(拡張子 *.js) の登場です。
ファイルの種類「JScript Scriptファイル」
task_[数字].zip task[数字].zip
document-[数字].zip document_[数字].zip document[数字].zip
scan_[数字].zip scanned_[数字].zip scanned[数字].zip
fax-[数字].zip fax_[数字].zip fax[数字].zip
FAX[数字].zip↓ 解凍
task_[数字].doc.js task[数字].doc.js
document-[数字].doc.js document_[数字].doc.js document[数値].doc.js
scan_[数字].doc.js scanned_[数字].doc.js scanned[数字].doc.js
fax-[数字].doc.js fax_[数字].doc.js fax[数字].doc.js
[英数字].js
Windowsの設定で拡張子の表示を無効にしたままだと、エクスプローラ上では「~.js」部分は省略されるから、攻撃者はWord文書と誤認するのを期待してるみたい。
ただ、Windows向け実行ファイル(拡張子 *.exe)やスクリーンセーバー(拡張子 *.scr)みたくアイコン画像の変更がムリなので、Microsoft Word のアイコンじゃない不自然な点に気づけるよねぇ?
jsファイルのダブルクリックで感染アウト!
何となくJavaScriptファイルをダブルクリックして起動しちゃうと…
JavaScript 製のダウンローダ型トロイの木馬
TrojanDownloader:JS/Nemucod または TrojanDownloader:JS/Swabfex
http://[infected domain]/counter/?id=[value]&rnd=[value]
外部ネットワークから1~3つのWindows向け実行ファイル(拡張子 *.exe)をダウンロードしてきて強制的に起動し感染させる挙動が走ってヤバい!
ちなみに、攻撃ターゲットはWindowsパソコンだけで、Mac OS、Android/iPhoneスマホ、ガラケーらへんは動かず無影響で大丈夫~。