無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

2015/10

タンケン-請求書/トーケン小松本社/日東印刷 迷惑メールでウイルス感染攻撃再び Wordファイル付き
 
イメージ 2
 
実在する日本の企業から送信された請求書や、Faxの受信通知っぽく偽装された日本語表記の添付ファイル付き迷惑メール(スパムメール)が不特定多数にバラ撒かれたみたい~。
 
■ えいぞう(テレビ高知映像公式)さんはTwitterを使っています: "株式会社トーケン小松本社とかいうところから身に覚えの無い請求書メールが来てました。どんなウイルスが仕込まれているのだろう。ワクワク。"
https://twitter.com/ku_eizo/status/658801945382031361
 
■ 国産さらりんごさんはTwitterを使っています: "はじめて迷惑メールがきた。見る前に調べてみたら、やっぱウイルス系らしい。"
https://twitter.com/x_Syxxx_21/status/658879727801798656
 
■ 手裏剣税理士さんはTwitterを使っています: "今朝、怪しげな添付ファイル付きメールが届きました。調べてみると他の人にも多数届いているようですので、添付ファイルを開かないよう注意してください。うちに来たのは日東印刷の新井氏より「タンケン-請求書(小)の件です。」が1通、㈱トーケンの高橋氏より「請求書」というタイトルで1通です。"
https://twitter.com/shurikenzeirish/status/658791689847332864
 
■ KaHさんはTwitterを使っています: "またあたらしいspamきた。今度はServcorpOneFax@servcorp[.]co.jpから「ファックス受信完了: Fax Received」って件名で。もちろん添付ファイル付きw"
https://twitter.com/goikenban/status/658764426221195264
 
■ 土屋さんはTwitterを使っています: "知らない請求書が届いたから調べてみたら、マクロウィルス付きの迷惑メールだった。危ない。合掌。"
https://twitter.com/ArtoyTutty/status/658894773122564096
 
■ どす猫さんはTwitterを使っています: "うちのボスが「日東印刷株式会社」なるところから来た全く覚えのない請求メールに添付されていたワードファイルを開きやがった・・・メールにわざわざ[SPAM]と注意喚起されていたにも関わらずだ・・・"
https://twitter.com/Dos_Neko/status/658907754568880128
 
■ らせんゆむさんはTwitterを使っています: "「日東印刷」という名義で「タンケンー請求書(小)の件です。」というタイトルのメールが来て何かしら〜、ダンナが(会社で間に合わない見積の書類を私のメールに送ることがある)転送したかな?と思ったが調べたらこれはウイルスメールらしいです。ご注意を!"
https://twitter.com/rasenyum/status/658841589561692160
 
■ ちやっさんはTwitterを使っています: "ウイルスメール来てて、まるで本当っぽい内容だったから開けてしまったΣ(´□`;) ネットで調べたらけっこうヒットしたからみんな気を付けて。「トーケン小松本社」「タンケン請求書」とか普通に署名書ついてて、ワードが添付されてるよー。"
https://twitter.com/chappppppy/status/658841115722821632

■ 杉の木@MGOさんはTwitterを使っています: "【注意喚起】スパムメールが拡散しています。 添付のword開封でマクロが動きます。未開封で廃棄推奨。 差出人:日東印刷株式会社 新井勇司 アドレス:yuji_arai@nitto-pri[.]co.jp 件名:タンケンー請求書(小)の件です。 添付:10280.doc 本文:なし"
https://twitter.com/suginoki7777777/status/658798022743093249

■ こんつぃさんはTwitterを使っています: "【ウィルスメール情報】 下記のメールはウィルスメールの可能性があります 添付アイルは開かないようお願いします 表題:請求書 送信者:株式会社トーケン小松本社 管理本部総務部 高橋 添付ファイル:2610-099189.doc"
https://twitter.com/kontwi/status/658800089171783680

今月10月8日に日本のユーザーを狙ってバラ撒かれた迷惑メール(スパムメール)と同一の攻撃者が仕掛ける第2弾って感じ? <ヤダねぇ
 

マクロウイルス Word文書ファイル付き

前回と同じ手口で、メールに添付されてるWord文書ファイル(拡張子 .doc)を開くよう誘導するけど、このファイルは請求書やFaxの受信データでも何でもなく、不正なマクロウイルスになります。
 
ファイルを開くと Microsoft Word が起動して、デフォルトではマクロを許可するか確認する警告が提示されるので、仮にもここでユーザーがマクロを有効化してしまえばアウト!
 
イメージ 1
Word の下層にナゾのプロセス drawhor4.exe が起動して…
 
外部ネットワークからWindows向け実行ファイル(拡張子 .exe)を裏でダウンロードしてきて、そのまま起動する不正な挙動が起こって感染です。
Word文書ファイル / マクロウイルス
2610-099189.doc
10280.doc
2F4A8C1B-9DB6-4749-AA9C-9ED67A419132-574-IF.doc
 
MD5 1a6113bb0a9757a8c6abfc7a2ebb886b
www.virustotal.com/ja/file/2060c6e7b2e94d7fa58f5e24c246b7820cc6ec68a3ea19c22db764bf5be55594/analysis/1445894466/
 
MD5 14e859f0048314a705222a13ead89660
www.virustotal.com/ja/file/82f29e0dab17ef02433b2e85911f366652ef08e10d466fd08b4fc3c58a068f00/analysis/1445901073/
 
MD5 7a94e32ff340306132920d654057e7c0
www.virustotal.com/ja/file/4d2791a12fdb8801a7fa359a1dfd19cc9d01d9834ab44e8980dd883370e11b70/analysis/1445898174/

 ↓ マクロを許可してしまうと… 
 
Windows向け実行ファイル
MD5 c0c8178b7ef2a8c067c68a7fb7dc7ecd
www.virustotal.com/ja/file/6392d70ba840a221774dd8c03941701963896b74fc5c112ef94be98abd9f4eef/analysis/1445894889/
攻撃の目的は前回と同じで、ウイルス検出名から「Shifu」「Shiz」と呼ばれてるネットバンキングウイルスを業務パソコンを狙って感染させることみたい。
 
ちなみに、影響環境はWindowsパソコンのみで、Mac OS や スマホ(Android、iPhone)、ガラケーらへんは動かないから大丈夫。
 

 
<28日 追記...>
 
ネットバンキングを狙う偽装メールが再来:今回は「請求書」と「ファックス受信」 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/12415
 
注意喚起:悪意あるファイルが添付された日本語メール | カスペルスキー
https://blog.kaspersky.co.jp/alert-japanese-emails-with-malicious-docs/9322/
 
日本国内の実在する企業を騙った不正なメールを広域で検知 - IBM Tokyo SOC Report
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/mail_20151028  

ウイルス検出名の一例

avast! Win32:Malware-gen
AVG PSW.Generic12.CIBS
Avira TR/Crypt.Xpack.307745
BitDefender Trojan.GenericKD.2827729
ESET Win32/Spy.Shiz.NCT VBA/TrojanDownloader.Agent.AFW
K7 AntiVirus Spyware ( 004cfca41 )
Kaspersky Trojan.Win32.Yakes.mzkj
McAfee Trojan-FHIX!C0C8178B7EF2 W97M/Downloader.apr
Microsoft Trojan:Win32/Pariham.A TrojanDownloader:W97M/Donoff.C
Sophos Troj/Agent-APDD
Symantec Trojan Horse W97M.Downloader
Trend Micro TSPY_SHIZ.MJSX W2KM_SHIZ.MJSX W2KM_SHIZ.MJSY
関連するブログ記事
このエントリーをはてなブックマークに追加

Java 8 Update 65リリース 脆弱性を解消するウイルス対策で更新重要
 
イメージ 2数年前までWindowsパソコンがウイルスに感染してしまう最大の原因であったフリーソフト Java (JRE) の最新バージョンがリリースされました~!
 
Version 8 Update 65
(1.8.0_65)
 
 
深刻なものも含む25件の脆弱性の修正が行われたセキュリティアップデートということで、無料ウイルス対策の1つとして Java の更新作業は必須です。
 
  • Java と JavaScript は名前が似てるけどまったく別モノで無関係です
  • Java はパソコン購入時点であらかじめインストールされてる場合があります
  • Internet Explorer や Firefoxブラウザ上で Java を使う場面があまりないなら設定で無効化できます
  • Java が必要な場面は限定的で不必要なユーザーもいるはず… コントロールパネルから削除アンインストールできます
大事なことなので2回言ってる? ↓窓の杜の記事。
 
イメージ 1
Oracle、25件の脆弱性の脆弱性修正した「Java SE 8 Update 65」を公開』
関連するブログ記事
このエントリーをはてなブックマークに追加

URL指定でサイト改ざん診断スキャン Googleセーフブラウジングのサイトステータス
 
Google透明性レポート の中に、URLアドレスを指定するとGoogleセーフブラウジングの診断結果が提示される「セーフ ブラウジングのサイト ステータス」なるページができてます。
 
Google のセーフ ブラウジング テクノロジーは、1 日に数十億件の URL を調査して、安全ではないウェブサイトを探します。1日に安全ではないウェブサイトが新たに数千件も見つかります。そのうちの多くは、正当なウェブサイトが不正使用されたものです。
安全ではないサイトが検出されると、Google検索やウェブブラウザで警告が表示されます。アクセスするウェブサイトが危険かどうかは、検索して確認することができます。
さっそく、この 無題な濃いログ をチェックしてみたら診断結果『危険ではない』となってました。
 
イメージ 2
 
現在のステータス:
危険ではない
最近、セーフ ブラウジングで blogs.yahoo.co.jp/fireflyframer 上に不正なコンテンツは検出されませんでした。
 
いちおうリアルタイムの状況を返してるワケではないです。

”怪しいサイト” の診断結果例

ハッキング被害を受けていて、ドライブバイ・ダウンロード攻撃 によるウイルス配信を行ってる 正規の一般サイト をチェックしてみたら診断結果はこんな感じ。
 
イメージ 3
Yahoo!ジオシティーズ内にある個人運営のホームページ
 
イメージ 4
W杯で話題のラグビーに関連する一般サイト
 
イメージ 5
とある宗教団体の公式ホームページ
 
危険
現時点で [URLアドレス] へのアクセスは安全ではありません。
 
おそらく危険
[URLアドレス] の一部のページヘのアクセスは安全ではない可能性があります。
 
いずれもエッチな映像を配信するアダルトサイトとかではありません。
 
一般サイトやブログがハッキングされたり、侵害された広告配信サーバーが読み込まれたり、ウイルスがバラ撒かれることは世界中で日常的に起こってる一方で
 
怪しいサイトにアクセスしない
 
といった現実の脅威とズレてるウイルス対策は実は通用しません。
 
Windowsパソコンの重要な無料ウイルス対策 がちゃんと実施できてるか MyJVNの無料セキュリティ診断ツール で確認しましょう♪
関連するブログ記事
このエントリーをはてなブックマークに追加

↑このページのトップヘ