TRY×3発送連絡ナデポ登録受付迷惑メールでウイルス感染 対策は?

イメージ 1
Image いらすとや

嫌らしく実在する日本の企業に成りすました日本語表記の 迷惑メール(スパムメール) が不特定多数に配信されてます。
偽メールはもっともらしく 「購入した Apple MacBook Pro の商品発送通知」「ホームセンターのポイントカードの登録通知」 という名目で、文法の不自然さがない完璧な日本語で書かれてあります。
件名 [TRY×3] 【発送連絡】 (送信専用)
送信者 TRY×3 <info-raku@try3.net>
この度はご利用誠に有難うございます。
お客様のご注文商品は、本日発送致しました。
商品到着まで今しばらくお待ち下さい。
なお、到着日指定を頂いている場合は指定日のお届け、それ以外は最短でのお届けとなります。
【楽天市場でお買い上げ頂きましたお客様へ】
■ ホームページから領収書発行が可能になりました。(但しクレジットカード決済に限る)
領収書が必要な方はページ下部のアドレスより発行して下さい。
詳しくはこちら
*商品にはお買い上げ明細(購入証明書)を同梱しております。(お届け先が注文者と異なる場合を除く)
 保証書には印を押さずに出荷している関係上、この用紙は修理の際に購入証明書として必要になります。
 失くされないようご注意下さい。
ヤマト運輸 荷物のお問い合わせはこちらから
佐川急便 荷物のお問い合わせはこちらから
運送便のお問い合わせ番号は下記、送り状Noです。
------
【オーダーID】[数字]
【ご注文日】2017年09月27日
【ご注文明細】
・送り状No:ヤマト運輸:[数字]
 1.Apple MF839J/A 2700/13.3 【MacBook Pro】
  価格:¥127,999 x 数量:1 = 合計(税込):¥127,999
【お買上金額】
 注文金額合計(税込):¥127,999
-----
 (内訳)
  商品金額:¥127,999
  送料:¥0
  代引手数料:¥0
  ポイント使用(値引き):0ポイント
  値引き/クーポン値引き:¥0
【配送希望日指定】希望なし(最短お届け)
【配送希望時間帯指定】午前中
【お支払方法】クレジットカード
-----
TRY×3(トライスリー)
〒252-0807
神奈川県藤沢市下土棚2404
TEL:0466-41-[数字](Yahooショッピング)
TEL:0466-42-[数字](楽天市場)
営業時間:月~金曜日 9:00~18:00
土曜日   10:00~17:00
日曜・祝日はお休みを頂いております。
件名 [ナデポ]登録受付のご案内
送信者 <auto-reply@nafcocard.jp>
ナデポ会員の登録申請ありがとうございます。
下記のURLにアクセスし、会員登録を行ってください。
【お知らせ】
ナデポカードはサービスを開始したナフコ店舗でご利用いただけます。
サービスエリアは順次拡大してまいりますので、ご期待ください!!
詳しくは、弊社ホームページ(パソコン版)および店頭にてお確かめ下さい。
■会員登録用URL(24時間有効)
【詳細情報】
※このメールは申請いただいた方にお送りしています。お心あたりがない場合は、お手数ですが本メールを破棄してください。
※このメールはシステムにより自動配信されており、このメールに対する返信は受取ることができません。
 お手数ですが、お問合せは下記の窓口までご連絡ください。
-----
ナデポカードに関するお問い合せ先
株式会社ナフコ
フリーダイヤル:0120-725-[数字]
受付時間:月〜金午前10時〜午後5時(土日祝および1月1〜3日を除く)
-----
メールに添付ファイルはなく、本文中の記載された複数の誘導リンクをユーザーにポチッと踏ませよう狙ってます。

zip圧縮ファイルからショートカット

リンクをクリックすると、zip形式の圧縮アーカイブがダウンロードできます。

これを手動で展開・解凍して中を確認すると、メールの内容に関係なく 「NTT-X Store 注文の詳細内容」(NTT-X Store irwfqrd) という名前の ショートカットファイル でした。

イメージ 2

ショートカットを仮にもダブルクリックすると bitsadmin.exe を介して外部ネットワークに接続を試みて Ursnifウイルス をダウンロードしてきて起動するようになってます。 <ネットバンキングなど不正送金被害に繋がるマルウェア!

【不正なショートカット】
e8ccd348f3b84ca48809618650128c00
www.virustotal.com/ja/file/dd5f03f065826e44591123921ed2f43d6c75cffaf760b5bff13aa7c998399964/analysis/1506480020/

ESET BAT/TrojanDownloader.Agent.NLN
Kaspersky Trojan-Downloader.WinLNK.Powedon
Symantec Downloader
Trend Micro LNK_URSNIF.AD

【Ursnifウイルス】
83aa4cf5113718422782e1859041faa4
www.virustotal.com/ja/file/ad8276f14bc2748f96032a57639fe70d1893a986b75059eb237c60f3b6bf6391/analysis/1506482832/

ESET Win32/Spy.Ursnif.AO
Kaspersky Trojan-Spy.Win32.Ursnif
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIQM

ファイルの形式から Windows XP/Vista/7/8/10 パソコンだけが攻撃対象となり、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんの環境は影響なく大丈夫です。

効果的なウイルス対策で感染防ぐ

誰でも思いつくウイルス対策がコチラでしょう。
  • 不審なメールを開かない
  • 怪しいリンクをクリックしない
  • 不正なショートカットファイルを開かない
一方、Windows のシステムに最初から用意されてる正規のプログラム bitsadmin.exe が悪用されてる結果として、セキュリティ製品をスリ抜けるリスクを無視してはいけません。


イメージ 3
ウイルス対策のおかげでダウンロードエラーになる


こうしておくと、ヒューマンエラーで不正なショートカットファイルをうっかりダブルクリックしようが感染攻撃が100%失敗に終わります。
関連するブログ記事