メール添付jsファイル開いたらVirus Alertウィンドウ感染!? Lockyランサムウェアは?

文書が送られてきたかのよう装った英語表記の 迷惑メール(スパムメール) を受信したので、添付されてる不正な JavaScriptファイル(拡張子 .js) を開いてみると様子がヘン!

イメージ 1
wscript.exe の下にナゾの実行ファイルが起動するも?
件名 Emailing: DOC 05-18-2016, [数字] [数字] [数字]
Your message is ready to be sent with the following file or link attachments:
DOC 05-18-2016, [数字] [数字] [数字]
(~以下略~)
今まではファイルを暗号化して身代金の支払いを要求する ランサムウェア Locky がダウンロードされてきて感染するはずだけど、降ってきたのは 『Virus Alert』 といタイトルのウィンドウでした。

イメージ 2
「見知らぬメールの添付ファイルを開いちゃダメ」と警告
Virus Alert
! Do not enable content to allow the macro to run in Office deocuments.
You are reading this message
because you have opened a malicious file.
For your safety,
don't open unknown email attachments.
【英語の意味】
ウイルス警告
オフィス文書でマクロの動作を許可するコンテンツの有効化をしてはいけません。
あなたがこのメッセージを読んでるということは不正なファイルを開てます。
安全のため見知らぬメールの添付ファイルを開くな。

この実行ファイルのバイナリ内には、反戦スローガン 『Make love, not war』 をもじった 『MAKE LOVE NOT MALWARE <3 <3』 なるメッセージも確認できます。

イメージ 3

これはどうも Locky の実行ファイルがアップされてるサーバーに善意のホワイトハッカーが侵入し、ウイルスメールの手口に騙された被害者へ注意喚起する 無害な実行ファイル に差し替えて妨害してる模様です。

エフセキュアブログ : ハッキングされたLockyホストからの公共広告ペイロード
http://blog.f-secure.jp/archives/50769196.html

また、恐らく同じホワイトハッカーがサーバーにアップされてる Locky の実行ファイルを無害なテキストに差し替えるパターンも確認してます。

イメージ 4
MAKE LOVE NOT MALWARE ハートマーク

Lockyウイルスではないけど…

ところで、この無害な実行ファイルを BitDefender(Trojan.GenericKD.3242066) や Kaspersky(UDS:DangerousObject.Multi.Generic) は脅威扱いにしてるけどなぜ?

MD5 a24b28c47a307fa9754d2f64c81d7133
SHA1 826267180274c7274fd86b1ff0894eb9a3ea8deb
787,968 bytes
www.virustotal.com/en/file/ed1a6b7bd9c0db01bc49109f62ccde31500e1593b501261e44ab7a97beff7f6e/analysis/1463570739/


[追記...]

無害な実行ファイルを多数のセキュリティソフトが何だかんだドンドン脅威扱いにしてます。 <「FakeAlert」 ってな表現は的を得てるかも~

BitDefender(名前を変えて Application.FakeAlert.U)、ESET(Win32/FakeAlert.F)、McAfee(Generic.ys)、Microsoft(Trojan:Win32/FakeAlert)、Sophos(Troj/Locky-CZ)、Symantec(Trojan.Gen.2)、Trend Micro(Ransom_LOCKY.EB)
タグ :
Windows