日本郵政装う迷惑メール 拡張子jseファイルを開いたウイルス感染した!

Image いらすとや
去年2015年から継続的に投入されてます。
日本郵政 を勝手に名乗って成りすまし、荷物の配達通知っぽく偽装した日本語表記の 迷惑メール(スパムメール) が着弾すーるする。 
<内容が内容だけに迷惑メールをどうしても無視できない


件名 (なし)
送信者 日本郵政-日本郵政
拝啓
配達員が注文番号 [数字] の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。従ってご注文の品はターミナルに返送されました。ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。このメールに添付されている委託運送状を印刷して、最寄りの 日本郵政 取り扱い郵便局までお問い合わせください。
メールの添付ファイルを確認するよう言葉巧みに誘導していて、ZIP形式の圧縮アーカイブを展開 すると不正な JavaScriptファイル/JScript Scriptファイル が登場しました。
<ファイルの拡張子 は .jse


圧縮ファイルの中身「JScript Encoded Scriptファイル」
そもそも リードインボイス って何?
【日本郵政偽装メールの添付ファイル】
EMS - トラック番号[数字]のリードインボイス.zip
↓ 解凍・展開する
EMS - トラック番号5546668のリードインボイス3.jse
今まで攻撃者(東欧? ロシア?)は日本語2バイト文字の扱いに苦労してて、Windows標準の展開機能やアーカイバソフトによっては 日本語ファイル名が文字化けする現象 に見舞われてたけど、これは正常にファイル名を出力できて問題解決? 

jseファイルを踏み抜くとネットバキングウイルス感染!

wscript.exe の下にコマンドプロンプトが起動し
更にその下にナゾのtmpファイルが起動してる
Windowsパソコンをターゲットに ネットバンキングの不正送金被害 につながるコンピュータウイルス Rovnix(ロブニクス) の実行ファイルが外部ネットワークからヒッソリとダウンロードされてきてシレッと起動しました。 

オンラインスキャン VirusTotal のスキャン結果は次のようになってて、ウイルス定義データの検出率はこんなもんです。 
<攻撃者も遊んでるワケじゃない


■ MD5 5eee8eefe4ec1ba20d262733b5d084ac
www.virustotal.com/ja/file/06b43876868cec2bb0671aca62e75c3f5f4bab29f72e206105fa2b6ee926cfdc/analysis/1461710078/
■ MD5 4b762c53f28c14fe35e5830616df5c6e
www.virustotal.com/ja/file/aa15840f6d46c7e913dd22c1a31d421894a0033ff45d80a7671855aac6e2664b/analysis/1461712531/
ちなみに、この攻撃ターゲットはWindowsパソコンのみで、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんの環境はjseファイルを開いてもまったく動作せず影響範囲外なのでご安心を。 



スクリプトウイルスの無料対策
スクリプウイルス のファイル形式は次のような拡張子があり、迷惑メールの添付ファイル として投入される機会もけっこう多く、今回のようにセキュリティ製品のスリ抜けもザラにあります。
- 「~.js」
- 「~.jse」
- 「~.wsf」
- 「~.vbs」
何だかんだ人間はヒューマンエラーを必ず起こすので、不正なファイルと気付かずに ”うっかり” 開いた想定で、↓ウイルス感染攻撃を100%失敗させる事前の無料ウイルス対策 があるのでオススメします。 


