タンケン-請求書/トーケン小松本社/日東印刷 迷惑メールでウイルス感染攻撃再び Wordファイル付き
 
イメージ 2
 
実在する日本の企業から送信された請求書や、Faxの受信通知っぽく偽装された日本語表記の添付ファイル付き迷惑メール(スパムメール)が不特定多数にバラ撒かれたみたい~。
 
■ えいぞう(テレビ高知映像公式)さんはTwitterを使っています: "株式会社トーケン小松本社とかいうところから身に覚えの無い請求書メールが来てました。どんなウイルスが仕込まれているのだろう。ワクワク。"
https://twitter.com/ku_eizo/status/658801945382031361
 
■ 国産さらりんごさんはTwitterを使っています: "はじめて迷惑メールがきた。見る前に調べてみたら、やっぱウイルス系らしい。"
https://twitter.com/x_Syxxx_21/status/658879727801798656
 
■ 手裏剣税理士さんはTwitterを使っています: "今朝、怪しげな添付ファイル付きメールが届きました。調べてみると他の人にも多数届いているようですので、添付ファイルを開かないよう注意してください。うちに来たのは日東印刷の新井氏より「タンケン-請求書(小)の件です。」が1通、㈱トーケンの高橋氏より「請求書」というタイトルで1通です。"
https://twitter.com/shurikenzeirish/status/658791689847332864
 
■ KaHさんはTwitterを使っています: "またあたらしいspamきた。今度はServcorpOneFax@servcorp[.]co.jpから「ファックス受信完了: Fax Received」って件名で。もちろん添付ファイル付きw"
https://twitter.com/goikenban/status/658764426221195264
 
■ 土屋さんはTwitterを使っています: "知らない請求書が届いたから調べてみたら、マクロウィルス付きの迷惑メールだった。危ない。合掌。"
https://twitter.com/ArtoyTutty/status/658894773122564096
 
■ どす猫さんはTwitterを使っています: "うちのボスが「日東印刷株式会社」なるところから来た全く覚えのない請求メールに添付されていたワードファイルを開きやがった・・・メールにわざわざ[SPAM]と注意喚起されていたにも関わらずだ・・・"
https://twitter.com/Dos_Neko/status/658907754568880128
 
■ らせんゆむさんはTwitterを使っています: "「日東印刷」という名義で「タンケンー請求書(小)の件です。」というタイトルのメールが来て何かしら〜、ダンナが(会社で間に合わない見積の書類を私のメールに送ることがある)転送したかな?と思ったが調べたらこれはウイルスメールらしいです。ご注意を!"
https://twitter.com/rasenyum/status/658841589561692160
 
■ ちやっさんはTwitterを使っています: "ウイルスメール来てて、まるで本当っぽい内容だったから開けてしまったΣ(´□`;) ネットで調べたらけっこうヒットしたからみんな気を付けて。「トーケン小松本社」「タンケン請求書」とか普通に署名書ついてて、ワードが添付されてるよー。"
https://twitter.com/chappppppy/status/658841115722821632

■ 杉の木@MGOさんはTwitterを使っています: "【注意喚起】スパムメールが拡散しています。 添付のword開封でマクロが動きます。未開封で廃棄推奨。 差出人:日東印刷株式会社 新井勇司 アドレス:yuji_arai@nitto-pri[.]co.jp 件名:タンケンー請求書(小)の件です。 添付:10280.doc 本文:なし"
https://twitter.com/suginoki7777777/status/658798022743093249

■ こんつぃさんはTwitterを使っています: "【ウィルスメール情報】 下記のメールはウィルスメールの可能性があります 添付アイルは開かないようお願いします 表題:請求書 送信者:株式会社トーケン小松本社 管理本部総務部 高橋 添付ファイル:2610-099189.doc"
https://twitter.com/kontwi/status/658800089171783680

今月10月8日に日本のユーザーを狙ってバラ撒かれた迷惑メール(スパムメール)と同一の攻撃者が仕掛ける第2弾って感じ? <ヤダねぇ
 

マクロウイルス Word文書ファイル付き

前回と同じ手口で、メールに添付されてるWord文書ファイル(拡張子 .doc)を開くよう誘導するけど、このファイルは請求書やFaxの受信データでも何でもなく、不正なマクロウイルスになります。
 
ファイルを開くと Microsoft Word が起動して、デフォルトではマクロを許可するか確認する警告が提示されるので、仮にもここでユーザーがマクロを有効化してしまえばアウト!
 
イメージ 1
Word の下層にナゾのプロセス drawhor4.exe が起動して…
 
外部ネットワークからWindows向け実行ファイル(拡張子 .exe)を裏でダウンロードしてきて、そのまま起動する不正な挙動が起こって感染です。
Word文書ファイル / マクロウイルス
2610-099189.doc
10280.doc
2F4A8C1B-9DB6-4749-AA9C-9ED67A419132-574-IF.doc
 
MD5 1a6113bb0a9757a8c6abfc7a2ebb886b
www.virustotal.com/ja/file/2060c6e7b2e94d7fa58f5e24c246b7820cc6ec68a3ea19c22db764bf5be55594/analysis/1445894466/
 
MD5 14e859f0048314a705222a13ead89660
www.virustotal.com/ja/file/82f29e0dab17ef02433b2e85911f366652ef08e10d466fd08b4fc3c58a068f00/analysis/1445901073/
 
MD5 7a94e32ff340306132920d654057e7c0
www.virustotal.com/ja/file/4d2791a12fdb8801a7fa359a1dfd19cc9d01d9834ab44e8980dd883370e11b70/analysis/1445898174/

 ↓ マクロを許可してしまうと… 
 
Windows向け実行ファイル
MD5 c0c8178b7ef2a8c067c68a7fb7dc7ecd
www.virustotal.com/ja/file/6392d70ba840a221774dd8c03941701963896b74fc5c112ef94be98abd9f4eef/analysis/1445894889/
攻撃の目的は前回と同じで、ウイルス検出名から「Shifu」「Shiz」と呼ばれてるネットバンキングウイルスを業務パソコンを狙って感染させることみたい。
 
ちなみに、影響環境はWindowsパソコンのみで、Mac OS や スマホ(Android、iPhone)、ガラケーらへんは動かないから大丈夫。
 

 
<28日 追記...>
 
ネットバンキングを狙う偽装メールが再来:今回は「請求書」と「ファックス受信」 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/12415
 
注意喚起:悪意あるファイルが添付された日本語メール | カスペルスキー
https://blog.kaspersky.co.jp/alert-japanese-emails-with-malicious-docs/9322/
 
日本国内の実在する企業を騙った不正なメールを広域で検知 - IBM Tokyo SOC Report
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/mail_20151028  

ウイルス検出名の一例

avast! Win32:Malware-gen
AVG PSW.Generic12.CIBS
Avira TR/Crypt.Xpack.307745
BitDefender Trojan.GenericKD.2827729
ESET Win32/Spy.Shiz.NCT VBA/TrojanDownloader.Agent.AFW
K7 AntiVirus Spyware ( 004cfca41 )
Kaspersky Trojan.Win32.Yakes.mzkj
McAfee Trojan-FHIX!C0C8178B7EF2 W97M/Downloader.apr
Microsoft Trojan:Win32/Pariham.A TrojanDownloader:W97M/Donoff.C
Sophos Troj/Agent-APDD
Symantec Trojan Horse W97M.Downloader
Trend Micro TSPY_SHIZ.MJSX W2KM_SHIZ.MJSX W2KM_SHIZ.MJSY
関連するブログ記事