ウイルスexe付きヤマト運輸/佐川急便/KIロジスティクス迷惑メール zipの中の画像

イメージ 2
Image いらすとや

ヤマト運輸、佐川急便、KIロジスティクス といった実在する日本の企業名を登場させて商品の発送通知を装った 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
件名 ダイレクトメール発注
件名
のご注文ありがとうございます
本日、ヤマト運輸で、商品を発送しました。
04/07着にて お届けさせていただきます
商品到着までもうしばらくお待ちください。
商品の発送には万全を尽くしておりますが、万が一不良等ございましたら、申し
訳ありませんがご連絡ください。
この度は本当にありがとうございました。
件名 Fwd: 佐川急便
件名 Fwd: 商品発送のお知らせ
注文番号:[数字]-20170213-[数字]
只今ご注文殺到につきましてお客様へはお待たせして誠に申し訳ございませんで
した。
本日、お客様のご注文商品を下記要領で発送いたしましたのでお知らせいたします。
[お届け運送会社] 佐川急便
[出荷日]
2017/04/06
[お届け予定日] 指定無し
[お問合せ番号]
[数字]
配送業者:佐川急便
伝票番号:
[数字]
※反映は夕方以降となる場合がございます。予めご了承くださいませ。
★佐川急便利用時は委託倉庫先のKIロジスティクスが発送元になることがありま
すので予めご了承くださいませ。
★配送時不在のお客様へ(出荷前にご連絡いただいた場合を除く)
恐れ入りますが、お客様ご自身で1週間以内に再配達のお手配をお願い致します。
再配達の手配をされずに保管期間(1週間)が経過しますと、当店に返送されて
しまいます。
★配送不可について
-----
保管期間切れや、住所不明等の配送不可や、受け取り拒否等をされた場合はキャ
ンセル手数料として実質発送料と
返送時の実質送料の往復分を請求させていただきます。
ご理解・ご了承の程よろしくお願い申し上げます
-----
それでは、商品到着まで今しばらくお待ち下さいますようお願い申し上げます。
※当店はメールのみの対応とさせて頂いております。
 予めご了承くださいませ。
え!? 何か注文したっけ?』 と思わず読んでしまう完成度の高さだけど、日付や番号のところが違うだけの同じ文面のメールが以前から投入されてます。 <日本語は完璧で文法上の不自然さがほぼない

zip圧縮の中身はウイルスexe

メールの添付ファイルはzip形式の圧縮アーカイブなので解凍・展開して中身を確認すると、次のような Windows向け実行ファイル(拡張子 .exe) の登場です。

イメージ 1
ダブルクリック厳禁 .exeファイル

二重拡張子「~.pdf.exe」にすることでPDF文書と勘違いさせようとしてるけど、ファイルの種類(拡張子)に注意を払うウイルス対策 で攻撃者の策略は何なく粉砕できます。 <特別な知識がなくても

【圧縮アーカイブの中身】
■ 2017_9820011_ORDER.pdf.exe
■ 201704.0609920019.pdf.exe
b49c9d2d77291c58ec173319d0d8a9b5
www.virustotal.com/ja/file/7e96fade1bfbdf85fb25ef0eadb0efe0bbf0a229845fc07bc972bef490a2879c/analysis/1491459726/

この実行ファイルの正体はネットバンキング不正送金ウイルスで知られる Ursnif(読み方 アースニフ) です。 <正確にはその派生である Dreambot

Q. 影響する環境は?

.exeファイルが動作するのはWindows XP/Vista/7/8/10パソコンです。

つまり、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はメールの受信はあっても攻撃対象ではないことになります。

Q. 何を行ったらウイルス感染?

.exeファイルをユーザーの意思でダブルクリックして開いたら感染アウトです。

言い換えると、その前の段階 「メールを受信した」「メールを開いて本文を読んだ」「プレビューでメールの内容が表示された」「圧縮アーカイブをダブルクリックした」 だけではまだ感染するところに至ってません。