最終更新日: 2017年9月29日

佐川急便請求内容確定ご案内迷惑メールはウイルス! 感染防ぐ対策は?

イメージ 1
Image いらすとや

実在する有名な企業を嫌らしく勝手に名乗った日本語表記の怪しい 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
有名な運送会社 佐川急便株式会社 からの請求書を装う偽メールがコチラ!
件名 [佐川急便] 請求内容確定のご案内
送信者 <kansai_ebusiness@sagawa-exp.co.jp>

平素は格別のご愛顧を賜り、心より御礼申し上げます。
※本メールは電子請求書発行サポートにご登録頂いたお客様を対象に送信しています。
請求の内容が確定しましたので、ご案内致します。
運賃請求書発行画面より請求書を取得して頂きます様、お願い申し上げます。
請求書番号
【[数字]】
┏━━━━━
■取得方法
┗━━━━━
『電子請求書発行サポートメニュー』選択後、『運賃請求書発行』から取得して下さい。
WEBトータルサポート(電子請求書発行サポート)へのログインはこちら
┏━━━━━
■ご注意
┗━━━━━
請求書をダウンロードいただく際には大変混雑が予想されます。
アクセスにお時間を要した場合は、ご面倒ではございますがしばらくたってから
ご利用いただけますようお願い申し上げます。
電子請求書発行サポートサービスは携帯電話ではご利用いただけません。
パソコンからのみご利用頂けます。
今後とも、いっそうのお引き立て賜りますよう、お願い申し上げます。
佐川急便株式会社
-----
▼お問合わせ先
操作方法等に関するお問い合わせは、
佐川急便 CSインフォメーションセンターまでお電話ください。
佐川急便株式会社 CSインフォメーションセンター
TEL:0120-28-[数字]
メールアドレス:denshiseikyuu@sagawa-exp[.]co.jp
受付時間:9:00~17:00(月~金 ※祝祭日・年末年始を除く)
-----
本メールは佐川急便インターネットサービスより自動で送信されています。
返信されましても受け付けできませんのでご了承下さい。 無題な濃いログ
メールを読まずに無視するのは著しく困難なところに、機械翻訳したような文法的な不自然さもなく完成度の高い日本語の文章で書かれてあり巧妙です。

zip圧縮ファイルからショートカット

メールに添付ファイルはなく、本文中に登場する誘導リンク(2ヶ所)をユーザーにポチッと踏ませるのが攻撃者の狙いになります。

リンクを仮にクリックすると、佐川急便を装うフィッシング詐欺サイトが表示されることはなく、zip形式の圧縮アーカイブがダウンロードされます。

これを手動で解凍・展開し中身を確認すると、「支払い情報をチェック」(hfgvjgbbdj) という名前の ショートカットファイル でした。

イメージ 2
アイコン左下の矢印がショートカットの目印

ネットバンキングウイルスに感染!

仮にこのショートカットを Windows パソコン上でポチポチッとダブルクリックして開くと、Windows のシステムに用意されてる bitsadmin.exe を介して外部ネットワークにコッソリ接続します。

イメージ 3

この時に Windows 向けの実行ファイルがダウンロードされてくる処理になってて、その正体がネットバンキング不正送金で暗躍する Ursnifウイルス(別名Dreambot) です。

【不正なショートカットファイル】
MD5 d95d1f0562b9f8cc8db808e8b6994ec1
www.virustotal.com/ja/file/e227e4af141879d57dc64f51b90be6c480ca1364933924ca7d9e3271048b7499/analysis/1506569567/

MD5 653ec72eb23774c9f0c73fd780186e88
www.virustotal.com/ja/file/daebba415ae0ca278ce51d417dac138ff9add95c54a1732a9ebbbd7e75df0cbb/analysis/1506653871/

ESET BAT/TrojanDownloader.Agent.NLN PowerShell/TrojanDownloader.Agent.VE
Kaspersky Trojan-Downloader.WinLNK.Powedon.k
Symantec Downloader  Trojan.Gen.2
Trend Micro LNK_URSNIF.AE LNK_DLOADR.AUSUED

【Ursnifウイルス】
MD5 39ae37a244f127a092a9a1401c6c530a
www.virustotal.com/ja/file/3429c335b47043bd8e1f027d64c1d4ea5e81833107a9ede8b49df9dd10af612e/analysis/1506564669/

MD5 7c80305e801f5b0f2fda8c326eb7b7d0
www.virustotal.com/ja/file/df1189ffb40ebde70cb5dd129d691fcab716ce13468fa24a9b9f7eff4a21f73d/analysis/1506653678/

ESET Win32/Kryptik.FXCG Win32/Spy.Ursnif.AO
Kaspersky Trojan-Spy.Win32.Ursnif.uaa Trojan-Spy.Win32.Ursnif.uaf
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIQN TSPY_URSNIF.AUSIQO

ショートカットウイルスの対策

ショートカットを悪用するマルウェア の役割は、何かしらメインのマルウェアをダウンロードする ”橋渡し” です。

ただ、ショートカットの機能だけでファイルをダウンロードすることは実現できないので、たいてい Windows のシステムに用意されてる正規プログラムに処理を投げるパターンが多いです。
ウイルス対策にファイアウォールの出番

…ってことで、外部通信をユーザーが自由に制御できる ファイアウォール に大いに活躍してもらいましょう。 <Windows ファイアウォールが稼働してるなら無料で対応できる


正規プログラムをあらかじめ通信ブロック対象に登録しておくと、ウイルス感染攻撃は攻撃者の狙ったとおりに最後まで進まず100%失敗することが期待できます。
関連するブログ記事