支払条件確認書? 口座引落? 迷惑メールのjsファイル開きウイルス感染被害

イメージ 4
Image いらすとや

日本語表記の添付ファイル付き 迷惑メール(スパムメール) が不特定多数にバラ撒かれていて注意が必要です。

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「口座引落」「支払条件確認書」。添付ファイルはワードファイルを装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/831304086934786048

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「doc」「scan」「Re:」「invoice」等。本文は添付書類の確認を求める内容等になっていますが、添付ファイルはPDF文書を装ったウイルスです。ご注意ください!その他の件名は次のツイートをが参照ください。(続く)"
https://twitter.com/MPD_yokushi/status/831365293460959232


■ 警視庁犯罪抑止対策本部さんのツイート: "(続き)ウイルス付きメールのその他の件名は「Fwd:」「IMG」「payment」「photo」「transfer」「cargo」「parcel」「foto」「image」「copy」「transf.」「report」「bill」「pay」「inv.」です。ご注意ください!"
https://twitter.com/MPD_yokushi/status/831365380954140672
 
添付されてるのはZIP形式の圧縮ファイルで、解凍・展開すると中身から JavaScript ファイルJScript Script ファイル拡張子 .js)が登場します。

イメージ 5

イメージ 1
スクリプトファイル! アイコンは巻き物に白紙の図案

【添付ファイル】
IIVI[数字].zip
 ↓ 解凍・展開する
IIVI0388549906007.pdf.js

【添付ファイル】
A支払条件確認書.doc.zip
 ↓ 解凍・展開する
A謾ッ謇墓擅莉カ遒コ隱肴嶌.doc.js
(本来は「A支払条件確認書.doc.js」としたい)

2バイト文字の処理がうまくできておらず Windows標準展開 や Lhaplus の場合は日本語のファイル名は完全に 文字化け するけど、二重拡張子 「~.doc.js」 になっていてユーザーに Word文書PDF文書 と誤認させて踏み抜いてもらう魂胆。

ちなみに、このファイル形式は Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー では動かないので攻撃対象外となります。

jsファイルを開くとウイルス感染

手元のWindowsパソコンでjsファイルをポチポチっとダブルクリックして開いたところ、PowerShell を介してドイツのサーバー(スマホ修理屋?)に接続し、実行ファイル(拡張子 .exe) をシレッとダウンロードしてきて起動します。

イメージ 2
powershell.exe からウイルスの実行ファイルが起動した瞬間

イメージ 3
ドイツのサーバーにアップされてる実行ファイルをDLしてきてる

正体はネットバンキング不正送金被害に繋がるウイルス Ursnif(読み方 アースニフ) みたい。

MD5ハッシュ f0fb75225c58d4d2c1e7ba90f1696c8e
www.virustotal.com/ja/file/6774b5570b00d9e4e860bfe628222aa1a896aab4b7b0b13147a4344ab299950f/analysis/1487028332/

jsウイルスの感染防ぐ無料ウイルス対策

理想は 『怪しいメールを開くな!』 だけど、怪しいと気づけずjsファイルをうっかり踏み抜いてもネットバンキング不正送金ウイルスがPCにやって来ず感染失敗にもっていく無料対策あるのでどぞ!