日本郵政装う迷惑メール拡張子jseファイルを開いたウイルス感染した！ : 無題なログ

日本郵政装う迷惑メール拡張子jseファイルを開いたウイルス感染した！

Image いらすとや

去年2015年から継続的に投入されてます。

日本郵政 を勝手に名乗って成りすまし、荷物の配達通知っぽく偽装した日本語表記の 迷惑メール（スパムメール） が着弾すーるする。

＜内容が内容だけに迷惑メールをどうしても無視できない

件名（なし）
送信者日本郵政-日本郵政
拝啓
配達員が注文番号 [数字] の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。従ってご注文の品はターミナルに返送されました。ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。このメールに添付されている委託運送状を印刷して、最寄りの日本郵政取り扱い郵便局までお問い合わせください。

メールの添付ファイルを確認するよう言葉巧みに誘導していて、ZIP形式の圧縮アーカイブを展開すると不正な JavaScriptファイル／JScript Scriptファイル が登場しました。

＜ファイルの拡張子は .jse

圧縮ファイルの中身「JScript Encoded Scriptファイル」
そもそもリードインボイスって何？

【日本郵政偽装メールの添付ファイル】
EMS - トラック番号[数字]のリードインボイス.zip
　↓ 解凍・展開する

EMS - トラック番号5546668のリードインボイス3.jse

今まで攻撃者（東欧？ロシア？）は日本語2バイト文字の扱いに苦労してて、Windows標準の展開機能やアーカイバソフトによっては 日本語ファイル名が文字化けする現象 に見舞われてたけど、これは正常にファイル名を出力できて問題解決？

jseファイルを踏み抜くとネットバキングウイルス感染！

この不正なjseファイルはスクリプウイルスという分類になり、Windowsパソコン上でポチポチっと ダブルクリック して開くと、そのまま攻撃処理の発動となるので実際に手元で踏んでみました。

wscript.exe の下にコマンドプロンプトが起動し
更にその下にナゾのtmpファイルが起動してる

Windowsパソコンをターゲットに ネットバンキングの不正送金被害 につながるコンピュータウイルス Rovnix（ロブニクス）の実行ファイルが外部ネットワークからヒッソリとダウンロードされてきてシレッと起動しました。

オンラインスキャン VirusTotal のスキャン結果は次のようになってて、ウイルス定義データの検出率はこんなもんです。

＜攻撃者も遊んでるワケじゃない

■ MD5 5eee8eefe4ec1ba20d262733b5d084ac
www.virustotal.com/ja/file/06b43876868cec2bb0671aca62e75c3f5f4bab29f72e206105fa2b6ee926cfdc/analysis/1461710078/

■ MD5 4b762c53f28c14fe35e5830616df5c6e
www.virustotal.com/ja/file/aa15840f6d46c7e913dd22c1a31d421894a0033ff45d80a7671855aac6e2664b/analysis/1461712531/

ちなみに、この攻撃ターゲットはWindowsパソコンのみで、Mac OS X、Androidスマホ、iOS（iPhone/iPad）、ガラケーらへんの環境はjseファイルを開いてもまったく動作せず影響範囲外なのでご安心を。