支払条件確認書? ご注文ありがとう? 迷惑メールでウイルス感染 docx/exeファイルが危険
日本の実在企業に成りすました支払条件確認書や、何かの商品を注文した通知のように装って添付ファイルを確認するよう日本語で誘惑する怪しい 迷惑メール(スパムメール) が無差別に送信されてます。 



Fwd: 支払条件確認書
お手数ですが宜しくお願いします。
連帯保証人は記載しなくて結構です。
株式会社 ジャパンエキスプレス
URL: http://www.japan-express.co.jp/
ご注文ありがとうございました
経理部
商品をご注文いただき、誠にありがとうございました。
以下のとおりご注文を受付けました。
ご注文日時: 2017年05月17日
〔ご注文内容〕
商品代金合計(税込): ¥[数字],[数字]
配送料合計(税込): ¥0
添付ファイルはzip形式の圧縮アーカイブなので展開・解凍すると、Windows向け実行ファイル(拡張子 .exe) や Word文書(拡張子 .docx) でした。

「tvs.docx」
「T5605467A0122017.pdf.exe」
■ 実行ファイルの正体
二重拡張子にしてPDF文書と誤認させるようとしてるけど、ネットバンキング不正送金ウイルス Ursnif(読み方 アースニフ) そのものです。
■ Word文書ファイルの正体
Microsoft Word で開くと文書上に 『プレビュー文書をダブルクリックしてください』 という騙しのメッセージが表示され、ユーザーの心を操って埋め込まれてる スクリプトファイル(拡張子 .js) を開くよう仕向けます。

試しにダブルクリックしてスクリプトファイルを開くと wscript.exe を介して外部ネットワークからデータがダウンロードされてきて起動し、これがネットバンキング不正送金ウイルス Ursnif です。

Ursnif ウイルスに感染した瞬間
b568e31ff78634373ed171e4ccbbdf9a
www.virustotal.com/ja/file/8124e2fdcf0dd822c86a2213378afae01188631458b170a44c9d948097b90d96/analysis/1495050595/
b73f086b64f9b2df749ab9d0f1518e84
www.virustotal.com/ja/file/f58a7e3597704f82281d8a57844382961936365cf5c45847702e36deb63452a2/analysis/1495084238/
ESET Win32/Spy.Ursnif
Kapsersky Backdoor.Win32.Androm
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan.Gen.2
Trend Micro TSPY_URSNIF.AUSINY TSPY_URSNIF.WMZ
Kapsersky Backdoor.Win32.Androm
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan.Gen.2
Trend Micro TSPY_URSNIF.AUSINY TSPY_URSNIF.WMZ
セキュリティトピックス
Q. 影響する環境は? スマホは大丈夫?
.exeファイルや.jsファイルの動作環境は、Windows XP/Vista/7/8/10 パソコンに限定されます。 

それ以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんはメールの受信はあっても感染対象ではなく大丈夫です♪ 

Q. 感染するのはランサムウェア?
日本をターゲットに数年前から継続的に行われてるネットバンキングの預金を盗む目的のウイルスメールキャンペーンです。 

Q. ウイルス感染を抑える無料ウイルス対策は?
ファイルの拡張子を表示するよう Windows の設定を切り替えて、拡張子に注意を払うよう徹底します。
不正なスクリプトファイルを含むワード文書ファイルは、Windows の設定を切り替えやファイアウォールの活用でウイルス無害化するのが楽です。