無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2016/06

ヤフーブログのコメントにアマゾン出品者Victor/ビッグラブの怪しい投稿 sales5@saiveina.com
 
Yahoo!ブログのコメント欄に投稿されてる怪しいメッセージにご注意を!
 
投稿名 ビッグラブ や アマゾン出品者 Victor と名乗り、傘など商品の宣伝をしないか提案する投稿をいくつか確認してます。 <「お贈りいたしよう」

■ 初めまして、アマゾン出品者のVictorです。
傘、スマホケース、バックパックを出品しております。
毎月30点をお贈りいたしようと思います、その代わりに
カスタマーレビューとフィードバックを書いていただいてほしいですが、興味があれば、sales5@saiveina[.]comまでメールでご連絡ください。よろしくお願いいたします。
 

■ 初めまして、アマゾン出品者のVictorです。
バックパック、傘などを99%OFFで提供し、画像・動画付きレビューとフィードバックを書いていただけますでしょうか?OKであれば、sales5@saiveina[.]comまでご連絡ください。商品リンク:http://www.amazon[.]co.jp/dp/B01AYY8NT6 よろしくお願いいたします。
 
■ アマゾン出品者です。
傘、バックパック、スマホケース、キッチン用具などがほしい方はメールでsales5@saiveina[.]comまでお気軽にお問い合わせください。毎月30点お贈りいたしようと思います。
この 無題な濃いログ にも投稿があり(すでに削除済み)、ちょっくら検索してみると大量じゃないけどYahoo!ブログ内でのみ確認できるコメントっぽい。 <ブログ記事の内容に関係なくメッセージが投稿されてるのでスパム行為かと
 
ちなみに、連絡先となるメールアドレスのドメイン saiveina[.]com をWHOIS検索で調査してみると、お隣中国の業者さんの模様ですネ。
 
イメージ 1
 
> www.virustotal.com/ja/domain/saiveina.com/information/
このエントリーをはてなブックマークに追加

ジェイアール東日本情報システム年休申請書(健康診断)迷惑メールでウイルス感染攻撃
 
実在する ジェイアール東日本情報システム の名前を騙り、業務連絡を装ったかなり危なっかしい日本語表記の 迷惑メール(スパムメール) が不特定多数に送信されてます。
件名 なし
お疲れ様です。/
年休申請書(健康診断)をお送りします。
宜しくお願い致します。
--------------------------------------------------------------------------------
(株)ジェイアール東日本情報システム 大宮支店 ヘルプデスク
野田 卓也
NTT [数字]-[数字]-[数字]
JR  [数字]-[数字]
[数字] ⇒ メールごとにランダムなのでメチャクチャ電話番号&郵便番号
 
添付ファイルはZIP形式の圧縮ファイルで、解凍・展開すると不正な JavaScript/JScriptファイル(拡張子 .js)が登場します。 
 
イメージ 1
ファイルの拡張子に注意ダブルクリック厳禁
 
【添付ファイル】
出書(6月2日)野田.zip
 ↓ 解凍・展開
 
休暇承認兼申出書(6月2日)野田[数字].js
 または
莨第嚊謇ソ隱榊・逕ウ蜃コ譖ク(6譛・譌・)驥守伐[数字].js … 解凍ソフト次第で文字化け
 
このJSファイルを仮にもWindowsパソコン上でがダブルクリックして起動してしまうと攻撃処理が発動し、外部ネットワークから何かしらマルウェアを裏でダウンロードして起動し感染となります。
 
ちなみに、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケーらへんの環境は攻撃対象外です。
 

 
[2日、4日 追記...]
 
ネットバンキング不正送金がらみなウイルスみたい?
 
Microsoft(TrojanSpy:Win32/Ursnif)
ESET(Win32/PSW.Papras)
Trend Micro(TSPY_URSNIF)
 
■ 8b43bfe69b2c6d49a335cecb8394c8d7
www.virustotal.com/en/file/ad24ef0987c1bc2363960239a0cf6be3e6f00c4937488b42cd714dda81a7e564/analysis/1464747245/

■ 21389f035cc9633355d69d5faf9db84e
www.virustotal.com/en/file/7160ff4bd15201f626e9a2a871cc9e49ce03095077b0c52974ea210048da99b2/analysis/1464828771/

■ 2a3ad6ff5b6fde0d391b5fcc0d784051
www.virustotal.com/en/file/85699daa10c0b5945bda3a232dbba3146e3a23ed2419a6c25a86bdda905c2240/analysis/1464918725/
 
■ 477b4120780b2ff7dec4efd0ba0b0501
www.virustotal.com/en/file/0c25acfeeae1bed2cbd8a2d28cf3f7977b035783641c12048910d7ee26cacc64/analysis/1464996954/
 
レジストリの起動用のパラメータ。
 
イメージ 3
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
イメージ 4
HKEY_CURRENT_USER\Software\AppDataLow\Software\Microsoft\{GUID値}
「Client」「Install」キー
 
成りすまし対象だった JR東日本情報システム から注意喚起なPDF文書がリリースされてる~。
 
イメージ 2
「当社名・社員名をかたった不審なメールにご注意ください」
www.jeis.co.jp/160602.pdf
関連するブログ記事
このエントリーをはてなブックマークに追加

↑このページのトップヘ