ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ
の陳述書? 備品発注依頼書? 迷惑メールのwsfファイル開きウイルス感染被害

イメージ 5
Image いらすとや

Windowsパソコンをターゲットに ネットバンキング不正送金ウイルス の感染を企んだ日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】ウイルス付メールが拡散中!件名は「備品発注依頼書の送付」。本文は添付書類を開くよう誘導する内容になっていますが、添付ファイルはPDF文書を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/834195429868740608

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】ウイルス付メールが拡散中!件名は「の陳述書」。本文は添付書類を開くよう誘導する内容になっていますが、添付ファイルはPDF文書を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/834297219125633025
メール本文→『PDFですが、がひっくり返っていますので見難いかと思いますがよろしくお願いします。原本は明日郵便で送信します。』

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】ウイルス付メールが拡散中!件名は「口座引落」「支払条件確認書」。添付ファイルは書類を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/834316533031530496

メールの添付ファイルはZIP形式の圧縮アーカイブなので、解凍・展開して中身を確認してみると スクリプトファイル拡張子 .wsf) が登場しました。

イメージ 2
「ord.09288377493.jp.pdf.wsf

イメージ 1
「PDF」フォルダ内に2ファイル
「PDF20170220.00003.PAGE2.PDF.wsf
「PDF20170220.00003.PAGE1.PDF.wsf

とにかく PDF文書 とユーザーに思い込ませたいようで、文書の1ページ目と2ページ目と言わんばかりのファイル名に二重拡張子も施されてます。

ファイルの形式(拡張子)に注意を払える ユーザーさんなら、文書ではない不自然なファイルが送られてきた異常にすぐ気づけて攻撃者の策略に対抗できます。

wsfファイル開いたらウイルス感染

決してやってはいけないけど、このwsfファイルを手元でポチポチッとダブルクリックして開いてみた直後はこのようになりました。

イメージ 3
wscript.exe → cmd.exe → 謎ファイル がシレッと起動

このバックグラウンドでは wscript.exe を介してドイツのサーバー(飼い猫の紹介ページ?)に接続し、実行ファイルをダウンロードしてきてます。

イメージ 4

MD5ハッシュ 3bc9382a817f3d549e567053d6a0020b
www.virustotal.com/ja/file/8998b0a4c476b7dc20379dada6ba89cd6aad661e9bbe514562f97b1d128aca03/analysis/1487717494/

この正体はネットバンキング不正送金被害へ繋がる Ursnif(読み方 アースニフ) というコンピュータウイルスです。

ちなみに、動作環境ではない Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はまったく影響なく大丈夫となります。

wsfファイル開いてもウイルス感染失敗

怪しいメールを無視して添付ファイルを開かない理想が達成できるなら万事解決だけど、ヒューマンエラーから踏み抜いてしまう可能性を見越して感染攻撃を確実に失敗させる無料ウイルス対策も存在します。

ファイアウォールの設定で wscript.exe を通信ブロックに登録にしておく
 (無料Windowsファイアウォール、導入済みセキュリティソフトのファイアウォールで)

この記事に

開くトラックバック(0)

写真? 迷惑メール添付のzipファイルからjpeg.exe開きウイルス感染被害

イメージ 1
Image いらすとや

写真」とか「あなたはそれを2月16日までにお支払い下さい」といった感じで、不自然ながらも目に留まらざるを得ない日本語表記の 迷惑メール(スパムメール) が無差別にバラ撒かれてます。

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「写真」。本文は添付写真の確認を求める内容になっていますが、添付ファイルは写真を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/831793959001264128

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「御請求書」「の支払書類について」「の買入れについて」「請求書・納品書・写真」。本文は支払いを求める内容となっていますが、添付ファイルは書類を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/832018039797223425

メールにはZIP形式の圧縮ファイルが添付 されていて、さっそく展開・解凍して中身を確認してみると Windows向け実行ファイル(拡張子 .exe) の登場です。

イメージ 2
ウイルスの実物画像
「img-P2028828648839.jpeg.exe

【添付されてる実行ファイル】
MD5ハッシュ cf587aafd4b793c9bbf8799e8069b6cb
www.virustotal.com/ja/file/2508c1230b45899ae18e65f3b1fe65f6da3bc754ff5b77251dd3ae657d5ba8ce/analysis/1487144047/

この正体はWindowsパソコンをターゲットにネットバンキング不正送金被害へ繋がるウイルス  Ursnif(読み方 アースニフ)です。

ユーザーにJPEG写真と思い込ませるトリックが施されていて、仮にもexeファイルをポチポチッとダブルクリックして開いてしまえば感染アウトとなります。 拡張子 に注目すれば画像や文書ではないことは一瞬で分かる
  • ファイル名を 「img- 〜」 でイメージを装う
  • 拡張子を表示しない設定で効果ある二重拡張子 「〜 .jpeg.exe」
なお、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー は動作対象外のファイル形式ということでまったく影響なく大丈夫です。
関連するブログ記事

この記事に

開くトラックバック(0)

佐川急便商品発送のお知らせ迷惑メール ウイルス感染jsファイルが危険

イメージ 2
Image いらすとや

注文商品の発送を 佐川急便 が請け負った配達通知っぽく装った日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。

■ 警視庁犯罪抑止対策本部さんのツイート: "サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「Fwd:佐川急便」又は「Fwd:商品発送のお知らせ」。メール本文は、佐川急便を使用したとする偽の商品発送通知になっており、添付ファイルはPDF等を装ったウイルスです。十分ご注意ください!"
https://twitter.com/MPD_yokushi/status/831409839842611201

メールの文章に文法的な違和感はほぼなく、迷惑メールの典型的な運命『読まれもせず破棄される』とはいかず目に留まってしまうタイプです。 <ちょっと変な表現は「お客様へはお待たせして〜」のとこくらい?
件名 Fwd: 佐川急便 / Fwd: 商品発送のお知らせ
注文番号:[数字]-20170211-[数字]
只今ご注文殺到につきましてお客様へはお待たせして誠に申し訳ございませんで
した。
本日、お客様のご注文商品を下記要領で発送いたしましたのでお知らせいたします。
[お届け運送会社] 佐川急便
[出荷日] 2017/02/13
[お届け予定日] 指定無し
[お問合せ番号] [数字]
配送業者:佐川急便
伝票番号:[数字]
※反映は夕方以降となる場合がございます。予めご了承くださいませ。
★佐川急便利用時は委託倉庫先のKIロジスティクスが発送元になることがありま
すので予めご了承くださいませ。
★配送時不在のお客様へ(出荷前にご連絡いただいた場合を除く)
恐れ入りますが、お客様ご自身で1週間以内に再配達のお手配をお願い致します。
再配達の手配をされずに保管期間(1週間)が経過しますと、当店に返送されて
しまいます。
★配送不可について
------------------------------------
保管期間切れや、住所不明等の配送不可や、受け取り拒否等をされた場合はキャ
ンセル手数料として実質発送料と
返送時の実質送料の往復分を請求させていただきます。
ご理解・ご了承の程よろしくお願い申し上げます
------------------------------------
それでは、商品到着まで今しばらくお待ち下さいますようお願い申し上げます。
※当店はメールのみの対応とさせて頂いております。
 予めご了承くださいませ。

添付ファイルの中身はjsファイル 対策は?

添付ファイルはZIP形式の圧縮アーカイブ「13022017.ZIP」です。

圧縮された状態では何も起こらないので、解凍・展開して中身を確認してみると JavaScriptファイル / JScript Script ファイル拡張子 .js) が2つ入ってました。

イメージ 1
「2017-02-13-6005993772618.PDF.js
「876565265554_(1).html.js

これは Nemucod というウイルス定義名が付いてる不正なスクリプトファイルで、ユーザーにPDF文書やHTMLファイルと錯覚させるため二重拡張子のトリックが施されてます。 拡張子を表示しない設定が有効 のままだと気づけないやも

仮にWindowsパソコン上でポチポチッとダブルクリックして開くと攻撃処理が動き出してアウトだけど、怪しいと気づけずに ”うっかり” 踏み抜いても確実に攻撃を防ぐ方法も存在します。 <無料

jsファイルを開くとネットバンキングウイルス

動作確認のため手元でjsファイルを開いてみたところ、Windows向け実行ファイル(拡張子 .exe)がシレッと起動しました。

イメージ 3
powershell.exe の下にナゾの実行ファイルが…

ネットバンキング不正送金被害に繋がるUrsnifウイルスです。

なお、動作環境ではない Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はまったく影響ありません。
関連するブログ記事

この記事に

開くトラックバック(0)

支払条件確認書? 口座引落? 迷惑メールのjsファイル開きウイルス感染被害

イメージ 4
Image いらすとや

日本語表記の添付ファイル付き 迷惑メール(スパムメール) が不特定多数にバラ撒かれていて注意が必要です。

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「口座引落」「支払条件確認書」。添付ファイルはワードファイルを装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/831304086934786048

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「doc」「scan」「Re:」「invoice」等。本文は添付書類の確認を求める内容等になっていますが、添付ファイルはPDF文書を装ったウイルスです。ご注意ください!その他の件名は次のツイートをが参照ください。(続く)"
https://twitter.com/MPD_yokushi/status/831365293460959232


■ 警視庁犯罪抑止対策本部さんのツイート: "(続き)ウイルス付きメールのその他の件名は「Fwd:」「IMG」「payment」「photo」「transfer」「cargo」「parcel」「foto」「image」「copy」「transf.」「report」「bill」「pay」「inv.」です。ご注意ください!"
https://twitter.com/MPD_yokushi/status/831365380954140672
 
添付されてるのはZIP形式の圧縮ファイルで、解凍・展開すると中身から JavaScript ファイルJScript Script ファイル拡張子 .js)が登場します。

イメージ 5

イメージ 1
スクリプトファイル! アイコンは巻き物に白紙の図案

【添付ファイル】
IIVI[数字].zip
 ↓ 解凍・展開する
IIVI0388549906007.pdf.js

【添付ファイル】
A支払条件確認書.doc.zip
 ↓ 解凍・展開する
A謾ッ謇墓擅莉カ遒コ隱肴嶌.doc.js
(本来は「A支払条件確認書.doc.js」としたい)

2バイト文字の処理がうまくできておらず Windows標準展開 や Lhaplus の場合は日本語のファイル名は完全に 文字化け するけど、二重拡張子 「〜.doc.js」 になっていてユーザーに Word文書PDF文書 と誤認させて踏み抜いてもらう魂胆。

ちなみに、このファイル形式は Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー では動かないので攻撃対象外となります。

jsファイルを開くとウイルス感染

手元のWindowsパソコンでjsファイルをポチポチっとダブルクリックして開いたところ、PowerShell を介してドイツのサーバー(スマホ修理屋?)に接続し、実行ファイル(拡張子 .exe) をシレッとダウンロードしてきて起動します。

イメージ 2
powershell.exe からウイルスの実行ファイルが起動した瞬間

イメージ 3
ドイツのサーバーにアップされてる実行ファイルをDLしてきてる

正体はネットバンキング不正送金被害に繋がるウイルス Ursnif(読み方 アースニフ) みたい。

MD5ハッシュ f0fb75225c58d4d2c1e7ba90f1696c8e
www.virustotal.com/ja/file/6774b5570b00d9e4e860bfe628222aa1a896aab4b7b0b13147a4344ab299950f/analysis/1487028332/

jsウイルスの感染防ぐ無料ウイルス対策

理想は 『怪しいメールを開くな!』 だけど、怪しいと気づけずjsファイルをうっかり踏み抜いてもネットバンキング不正送金ウイルスがPCにやって来ず感染失敗にもっていく無料対策あるのでどぞ!

この記事に

開くトラックバック(0)

ある大きな国際的な会社の人事部長? 迷惑メールから怪しいサイト誘導に注意
 
イメージ 3
Image いらすとや

ビミョ〜に変な日本語で書かれた人材募集を装う不自然な 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
件名 国際的な会社より こんにちは / 地元代表者 / 欠員 #[数字] / お世辞 / 歓迎のスピーチ / Re: 給料 [\100,000 /週] / Re: 給料 [\90,000 /週] / Re: 給料 [\130,000 /週] / やあ! / 愛想のある挨拶スピーチ
[メールアドレスの一部] 様,
私たちは離れたところで働ける方を探しています。
私の名前は[外国人名]です。私は、ある大きな国際的な会社の人事部長をしています。あなたにして頂くお仕事の殆どが在宅でできます。つまり、会社から離れたところでのお仕事になります。
給料は30~50万円です。
もし、このご提案にご興味がありましたら、どうぞ私たちのサイト をご覧になってください。どうぞよろしくお願いします。
メールに添付ファイルはなく、本文中の誘導リンク「私たちのサイト」を踏ませるのが狙いです。

誘導先は一攫千金の投資?

手元でアクセスしてみると、お金をすぐ稼げるとうたう海外の投資サービス(バイナリーオプション)の会員登録を誘う広告ページでした。 <日本語ページと英語ページの2パターン
 
イメージ 1
ジャパニーズメソッド 安藤一郎

イメージ 2
Start Making Money with FinTech LTD
Join FinTech TODAY and profit TONIGHT!

海外業者とのバイナリーオプション取引にご注意ください!- 無登録業者との契約は行わないで - 国民生活センター
http://www.kokusen.go.jp/news/data/n-20140904_1.html
関連するブログ記事

この記事に

開くトラックバック(0)

[ すべて表示 ]

本文はここまでですこのページの先頭へ
みんなの更新記事