ジェイアール東日本情報システム年休申請書(健康診断)迷惑メールでウイルス感染攻撃
 
実在する ジェイアール東日本情報システム の名前を騙り、業務連絡を装ったかなり危なっかしい日本語表記の 迷惑メール(スパムメール) が不特定多数に送信されてます。
件名 なし
お疲れ様です。/
年休申請書(健康診断)をお送りします。
宜しくお願い致します。
--------------------------------------------------------------------------------
(株)ジェイアール東日本情報システム 大宮支店 ヘルプデスク
野田 卓也
NTT [数字]-[数字]-[数字]
JR  [数字]-[数字]
[数字] ⇒ メールごとにランダムなのでメチャクチャ電話番号&郵便番号
 
添付ファイルはZIP形式の圧縮ファイルで、解凍・展開すると不正な JavaScript/JScriptファイル(拡張子 .js)が登場します。 
 
イメージ 1
ファイルの拡張子に注意ダブルクリック厳禁
 
【添付ファイル】
出書(6月2日)野田.zip
 ↓ 解凍・展開
 
休暇承認兼申出書(6月2日)野田[数字].js
 または
莨第嚊謇ソ隱榊・逕ウ蜃コ譖ク(6譛・譌・)驥守伐[数字].js … 解凍ソフト次第で文字化け
 
このJSファイルを仮にもWindowsパソコン上でがダブルクリックして起動してしまうと攻撃処理が発動し、外部ネットワークから何かしらマルウェアを裏でダウンロードして起動し感染となります。
 
ちなみに、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケーらへんの環境は攻撃対象外です。
 

 
[2日、4日 追記...]
 
ネットバンキング不正送金がらみなウイルスみたい?
 
Microsoft(TrojanSpy:Win32/Ursnif)
ESET(Win32/PSW.Papras)
Trend Micro(TSPY_URSNIF)
 
■ 8b43bfe69b2c6d49a335cecb8394c8d7
www.virustotal.com/en/file/ad24ef0987c1bc2363960239a0cf6be3e6f00c4937488b42cd714dda81a7e564/analysis/1464747245/

■ 21389f035cc9633355d69d5faf9db84e
www.virustotal.com/en/file/7160ff4bd15201f626e9a2a871cc9e49ce03095077b0c52974ea210048da99b2/analysis/1464828771/

■ 2a3ad6ff5b6fde0d391b5fcc0d784051
www.virustotal.com/en/file/85699daa10c0b5945bda3a232dbba3146e3a23ed2419a6c25a86bdda905c2240/analysis/1464918725/
 
■ 477b4120780b2ff7dec4efd0ba0b0501
www.virustotal.com/en/file/0c25acfeeae1bed2cbd8a2d28cf3f7977b035783641c12048910d7ee26cacc64/analysis/1464996954/
 
レジストリの起動用のパラメータ。
 
イメージ 3
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
イメージ 4
HKEY_CURRENT_USER\Software\AppDataLow\Software\Microsoft\{GUID値}
「Client」「Install」キー
 
成りすまし対象だった JR東日本情報システム から注意喚起なPDF文書がリリースされてる~。
 
イメージ 2
「当社名・社員名をかたった不審なメールにご注意ください」
www.jeis.co.jp/160602.pdf
関連するブログ記事