の陳述書? 備品発注依頼書? 迷惑メールのwsfファイル開きウイルス感染被害

イメージ 5
Image いらすとや

Windowsパソコンをターゲットに ネットバンキング不正送金ウイルス の感染を企んだ日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】ウイルス付メールが拡散中!件名は「備品発注依頼書の送付」。本文は添付書類を開くよう誘導する内容になっていますが、添付ファイルはPDF文書を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/834195429868740608

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】ウイルス付メールが拡散中!件名は「の陳述書」。本文は添付書類を開くよう誘導する内容になっていますが、添付ファイルはPDF文書を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/834297219125633025
メール本文→『PDFですが、がひっくり返っていますので見難いかと思いますがよろしくお願いします。原本は明日郵便で送信します。』

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】ウイルス付メールが拡散中!件名は「口座引落」「支払条件確認書」。添付ファイルは書類を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/834316533031530496

メールの添付ファイルはZIP形式の圧縮アーカイブなので、解凍・展開して中身を確認してみると スクリプトファイル拡張子 .wsf) が登場しました。

イメージ 2
「ord.09288377493.jp.pdf.wsf

イメージ 1
「PDF」フォルダ内に2ファイル
「PDF20170220.00003.PAGE2.PDF.wsf
「PDF20170220.00003.PAGE1.PDF.wsf

とにかく PDF文書 とユーザーに思い込ませたいようで、文書の1ページ目と2ページ目と言わんばかりのファイル名に二重拡張子も施されてます。

ファイルの形式(拡張子)に注意を払える ユーザーさんなら、文書ではない不自然なファイルが送られてきた異常にすぐ気づけて攻撃者の策略に対抗できます。

wsfファイル開いたらウイルス感染

決してやってはいけないけど、このwsfファイルを手元でポチポチッとダブルクリックして開いてみた直後はこのようになりました。

イメージ 3
wscript.exe → cmd.exe → 謎ファイル がシレッと起動

このバックグラウンドでは wscript.exe を介してドイツのサーバー(飼い猫の紹介ページ?)に接続し、実行ファイルをダウンロードしてきてます。

イメージ 4

MD5ハッシュ 3bc9382a817f3d549e567053d6a0020b
www.virustotal.com/ja/file/8998b0a4c476b7dc20379dada6ba89cd6aad661e9bbe514562f97b1d128aca03/analysis/1487717494/

この正体はネットバンキング不正送金被害へ繋がる Ursnif(読み方 アースニフ) というWindows向けコンピュータウイルスです。

ちなみに、.wsfファイルの動作環境に Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー は含まれないので影響なく大丈夫となります。

wsfファイル開いてもウイルス感染失敗

怪しいメールと見抜き添付ファイルに手を伸ばさない理想が達成できるなら万事解決だけど、何だかんだ人的ミス(ヒューマンエラー)から踏み抜いてしまう現実も見過ごせません。

そこで、この 感染攻撃を確実に失敗させる無料ウイルス対策 が実は存在するので紹介してます。

ファイアウォールの設定で wscript.exe を通信ブロックに登録にしておく
 (無料Windowsファイアウォール、導入済みセキュリティソフトのファイアウォールで)
関連するブログ記事