2017.6支払依頼書/請求書ほか迷惑メール zipからjsファイルでウイルス感染

イメージ 3
Image いらすとや

もっともらしく金銭の支払い依頼書や請求書と称した日本語表記の怪しい 迷惑メール(スパムメール) が不特定多数に送信されてます。
2017.6支払依頼書
お疲れ様です。
請求書金額を入力した支払依頼書を添付いたしました。
ご確認後、印刷し原本のご郵送をお願い致します。
宜しくお願いたします。
請求書ほか
お世話になっております。
御請求書は、御社様宛に送付になります。
御確認の程、宜しくお願いいたします。
添付ファイルはzip形式の圧縮アーカイブなので手動で解凍・展開して中身を確認すると、次のような JavaScript ファイルJScript Script ファイル拡張子 .js) という形式のスクリプトファイルです。

イメージ 1
スクリプトファイル .js

【添付ファイル】
2017.6.21890455543.xls.js
2017-547805549-231.pdf.js
DOC0978043-2017.6.doc.js


ファイルの拡張子 を二重拡張子に仕立てて、ユーザーにエクセル、PDF文書、ワード文書が送られてきたと誤認させようとしてます。 <アイコン画像は巻き物の図案

このような形式のファイルをメールでやり取りすることは通常ありえません。

セキュリティトピックス

Q. スマホは大丈夫?

.jsファイルの動作対象は Windows パソコンだけです。

そのため、それ以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はメールの受信自体はあっても動かないから大丈夫です。

Q. 何をしたらウイルス感染?

Windowsパソコン上で.jsファイルをポチポチっと ダブルクリック して開くと、外部ネットワークから Bebloh/Shiotob ウイルスがダウンロードされてきてシレッと起動します。 <ネットバンキング不正送金が目的

イメージ 2
wscript.exe を介してウイルス感染した瞬間

メールソフトのプレビュー機能でメールの内容が表示されたり、メールの本文を単に読んだだけでは別に何も起こりません。

Q. 無料でウイルス感染を防止する方法は?

Windows はスクリプトファイルの関連付けや動作設定を変更しておきます。


そして、ファイアウォールで Windows のシステムにある実行ファイル wscript.exe の通信をブロックしておくと、うっかり.jsファイルを踏み抜いても100%確実に攻撃は失敗します。

関連ファイルとウイルス検出名

攻撃者はセキュリティソフトのウイルス定義データで検出しない新鮮な亜種を配信するので、セキュリティソフトの迂回を狙った難読化処理を含むスクリプトファイルの検出しずらさはけっこう厳しいです。

【スクリプトファイル】
■ MD5 0994c2e3dc7d38b9d6abba5d9755b819
www.virustotal.com/ja/file/60834d0c9d0602ef18cd65289b0b0fab05bbdb512acd3af0b273b6414883f60e/analysis/1498524960/

■ MD5 6d8f83550b5f4fea50378ec4bd01282b
www.virustotal.com/ja/file/59727ea201d94d471bdbb353b1281cca3c5bebf5305b140a3c017e52a37be702/analysis/1498510729/

■ MD5 0855b3cc00cf86a71d5b1ae31a57bdd2
www.virustotal.com/ja/file/64ae13592c5d8b289be81ebb50e054cef49b0bdf50ea92dd44ed611dd274150f/analysis/1498523440/

ESET JS/TrojanDownloader.Nemucod
Kapsersky Trojan.VBS.Agent
Microsoft TrojanDownloader:JS/Nemucod TrojanDownloader:JS/Nemucod!rfn
Symantec JS.Downloader
Trend Micro JS_NEMUCOD.ELDSAUHE

【実行ファイル】
■ MD5 1568dafae63eebce20987dd6205704e5
www.virustotal.com/ja/file/0931537889c35226d00ed26962ecacb140521394279eb2ade7e9d2afcf1a7272/analysis/1498516696/

ESET Generik.EEEXFCY
Kapsersky Trojan-Banker.Win32.Shiotob
Microsoft TrojanSpy:Win32/Banker
Symantec Trojan Horse
Trend Micro TSPY_BEBLOH.YMNNZ
関連するブログ記事