ノートパソコン dynabook が 
8万円から♪日本郵政ジャパン迷惑メール 添付zipからjs/wsfファイルでウイルス感染被害!
郵便事業を提供する会社「日本郵政 - 郵便局」「日本郵政ジャパン」「JAPAN POSTジャパン」などと勝手に名乗り、荷物の配達通知っぽく装った日本語表記の不審な 迷惑メール(スパムメール) が不特定多数にバラ撒かれ続けてます。 
件名 (なし)
拝啓
配達員が注文番号[数字]の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。従ってご注文の品はターミナルに返送されました。ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。このメールに添付されている委託運送状を印刷して、最寄りの日本郵政取り扱い郵便局までお問い合わせください。
敬具
日本郵政ジャパンの宛先:
〒[数字]-[数字]
東京都港区芝浦4-13-23
MS芝浦ビル13F
日本郵政
ここ数日、偽メールに添付されてるファイルの形式・種類に変化があり、まさにそれを受け取って注意を促すユーザーさんたちを Twitter から~。 
■ 佐々ャ木・コジローさんはTwitterを使っています: "郵便局を装った迷惑メールが届いた。郵送物に書かれているお客様の電話番号が間違っており、小包が返送されました、添付ファイルを印刷して最寄りの郵便局までお越しください、と書かれているメールなのだが、添付ファイルが JavaScriptなの。"
https://twitter.com/sasayaki_jiro/status/703690130607845378
■ まきにょさんはTwitterを使っています: "「日本郵政ジャパン」で怪しさに気づくようにしてくれてる親切なSPAMだろうか?w 添付ファイルの中身は何かのjavascript"
https://twitter.com/makinyopp1/status/704099084554997760
■ イシダPさんはTwitterを使っています: "一瞬「ん?」と思って読んじゃう日本郵政を装ったスパム。よく見ると宛先欄が同姓のもので埋まってるし怪しさ満点なんだけど、眠い時とかにうっかり添付ファイルを解凍しちゃわないよう注意ですわね"
https://twitter.com/twit_chu/status/704156415951110144
■ 鳩71さんはTwitterを使っています: "うおお、、レベルやや高めのウイルスメール来たわ。よく見たら変だけど、ぱっと見だと…"
https://twitter.com/fs7112/status/704117457376575488
https://twitter.com/fs7112/status/704124547021156353
ZIP形式の圧縮ファイルを解凍・展開してみると、今までの スクリーンセーバー(拡張子 .scr) に代わって、不正な JavaScript/JScriptファイル(拡張子 .js) が登場するのです。 
<スクリプトウイルス!
<スクリプトウイルス!
日本郵政の偽メールに添付されてた圧縮ファイル
【偽郵便局メールの添付ファイル】
郵便局 _お問い合わせ番号_[数字]から100通JP.zip
お知らせ番号_郵便局 - 日本郵政_お問い合わせ番号_[数字]100通.zip
日本郵政_お問い合わせ番号_[数字]ら100通.zip
↓ ユーザーが手動で展開・解凍
郵便局 - 日本郵政_お問い合わせ番号_[数字]ら100通.js
または
hfi - hwhx_mzgkddct_[数字]x100w.js … 解凍ソフト次第で文字化け現象発生
このJavaScript/JScriptファイル(拡張子 .js)の中身をテキストエディタで確認してみると、セキュリティ製品のファイルスキャンを軽々とスリ抜ける難読化処理が施されてます。 
<ウイルス定義で対応される前は脅威と判定しない恐れ!
<ウイルス定義で対応される前は脅威と判定しない恐れ!
パッと見では何してるのか分からんJavaScriptコード
手動で難読化を解除しないと処理を把握できず
この JSファイル を仮にもWindowsパソコン上でダブルクリックして起動しまうと、海外サーバーから Windows用実行ファイル をヒッソリ裏でダウンロードしてきて起動する処理になってます。
なお、メールソフトがサポートするメッセージのプレビューや、ファイルのプレビューでもって、ウイルスが強制的に起動してしまうことはないです。
不正なJSスクリプトファイルを踏んでみた!
さっそく手元で故意にJSファイルをポチポチッと開いて攻撃喰らってみる~。 
JavaScriptファイル起動直後のプロセスの様子
wscript.exe ファイルの下層にナゾのスクリーンセーバー(拡張子 .scr)が起動し、これが更にネットバンキング不正送金被害を引き起こすウイルス Rovnix をダウンロードしてきて感染させる模様です。 
■ 日本郵政を騙った不審メールが急増していますのでご注意ください - 日本郵政
http://www.japanpost.jp/information/2016/20160216115665.html
http://www.japanpost.jp/information/2016/20160216115665.html
ちなみに、一連の攻撃対象はWindowsパソコンに限定され、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケーらへんは影響範囲外になります。 
[3月5日 追記...]
添付されてるZIP形式の圧縮ファイルを解凍・展開してみると、今度はJavaScript/JScriptファイル(拡張子 .js)に代わって、Windows Scriptファイル(拡張子 .wsf) が登場するタイプが新たに投入されました。 
日本郵政の偽メールに添付されてた圧縮ファイル
【偽郵便局メールの添付ファイル】
日本郵政_お問い合わせ番号_[数字]ら100通.zip
[数字]_[英文字].zip
↓ ユーザーが手動で解凍・展開
郵便局 - 日本郵政_お問い合わせ番号_[数字]ら100通.wsf
または
hfi - hwhx_mzgkddct_[数字]x100w.wsf … 解凍ソフト次第で文字化け現象発生
この wsfファイル もWindowsパソコン上でダブルクリックして起動してしまったら攻撃発動となり、最終的にネットバンキング不正送金被害に繋がるウイルス Rovnix の感染と相成ります。 
テキストエディタで中身を確認してみると、↓選択反転させた部分以外の文字列は大量のゴミデータとなってて、何だかんだセキュリティ製品のファイルスキャンはスリ抜けてしまいます。 
難読化処理を手動で解除してやると、侵害されてる南米ブラジルの正規サーバーから不正な実行ファイルをダウンロードしてきて起動する処理を確認できました。
このようなjs/wsfスクリプトファイルをうっかり踏みそう? 
ウイルス対策として、スクリプト実行を無効化し機能させないようにしたり、実行するか確認ダイアログを表示させることもできるので、やり方は↓関連記事を参照してください。 
