ここから本文です
無題な濃いログ
PCのセキュリティ情報、ウイルス感染駆除削除、Yahoo!ショッピング通販を書き出してるブログだよ〜ん (*´o`*)ノ

書庫全体表示

Document/Image/Photos.zip迷惑メールは自分宛て? ウイルス感染JavaScriptファイルに注意!
 
本文は何も書かれておらず、メールの差出人が 自分自身のメールアドレス になってる怪しい 迷惑メール(スパムメール) が不特定多数に送信されてます。
件名 Document[1〜2ケタの数字]
件名 Document [1ケタの数字]
差出人 <自分自身のメールアドレス>

本文 (なし)
自分宛てに何かメッセージを送信したかのよう装い、でもサッパリ身に覚えがないはずだけど 気になって不安になり添付ファイルを確認したくなる のが狙い?
 
添付ファイルは、件名と同じ名前が付けられたZIP形式の圧縮ファイルで、解凍・展開してみると JavaScript/JScriptファイル(拡張子 .js) の登場です。 <文章じゃねぇ!
 
イメージ 1
Document1.zip Document2.zip Document7.zip などなど…
 
イメージ 2
ダブルクリック厳禁! ファイルの拡張子(種類)に超注意
 
【Documentメールの添付ファイル】
Document[1〜2ケタの数字].zip
Document [1ケタの数字].zip
 ↓ 手動で解凍作業を行う
 
[英数字].js
Document[数字].js
 
このJSファイルを Windowsパソコン上 でポチポチっとダブルクリックして起動してしまうと ウイルス感染 THE END なので踏んじゃダメ!
 
ちなみに、これら攻撃手口はWindowsパソコンのみターゲットで、Mac OS、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんは動かないから影響外です。

ダブルクリックするとファイル暗号化ウイルス感染!

手元でさっそく踏んでみたところ、Windowsパソコンを狙う ランサムウェア(身代金型ウイルス) の1つ Locky(ロッキー) が外部ネットワークからひっそりとダウンロードされ起動した〜。
 
イメージ 3
JSファイルを踏んだ直後のプロセスの様子
wscript.exe の下層にナゾの実行ファイル(拡張子 .exe)が起動してる
 
www.virustotal.com/ja/file/ddb80a24da8bec08eeac77e0a7ea13e48805a302290555d4bcb5d86d9080b13c/analysis/1458217419/
 

 
[3月25日 追記...]
 
自分宛てに偽装された 迷惑メール(スパムメール) が再び着弾しました。
件名 Image[数字].pdf
差出人 <自分自身のメールアドレス>
Sent from my Sony Xperia™ smartphone
添付のZIPファイルを解凍・展開すると JavaScript/JScriptファイル(拡張子 *.js) が登場し、Windowsユーザー に踏ませるのが狙い。 <画像じゃねぇ
 
イメージ 4
Imageうんたら〜.zip
 
イメージ 5
ダブルクリック厳禁! ファイルの拡張子(種類)に超注意
 
【Sent from myメールの添付ファイル】
Image[数字].zip
 ↓ 手動で解凍作業を行う
 
[英数字].js
 

 
[3月30日 追記...]
 
添付されてる圧縮ファイルがZIP形式ではなく RAR形式 のパターンも投入されてますかいな。
件名 Document (1).pdf
件名 CCE29032016うんたら〜系
( CCE29032016_00000 CCE29032016_00008 CCE29032016_00025 CCE29032016_00040 CCE29032016_00046 CCE29032016_00061 CCE29032016_00063 CCE29032016_00070 CCE29032016_00074 CCE29032016_00076 CCE29032016_00077 CCE29032016_00081 CCE29032016_00085 などなど)
毎回同じだけど、解凍・展開された不正な JavaScript/JScriptファイルWindowsパソコン上 でダブルクリックして起動したら攻撃を喰らいます。
 
【迷惑メールの添付ファイル】
[件名と同じ].zip
[件名と同じ].rar
 ↓ 解凍作業を実施する

CCE29032016_[数字].js
[英数字].js
 
手元で故意に踏んで攻撃を喰らってみると、ファイルの暗号化で身代金を要求する Lockyウイルス が送り込まれました。
 
イメージ 6
JSファイルの処理を担当する wscript.exe の下にナゾの実行ファイル
 
Windows標準だとRAR形式のファイルの解凍・展開に対応してないので、攻撃成功率的にどうなんでしょかネ…。
 

 
[4月4日 追記...]
 
ボンジュールなフランス語の 迷惑メール(スパムメール) で、自分宛てに写真を送ったかのよう装ってるものが来ました。
件名 Photos [数字]
差出人 <自分自身のメールアドレス>

Envoyé de mon Galaxy S6 edge+ Orange
Windowsユーザーに添付されてるZIPファイルを解凍・展開させて、中身の JavaScript/JScriptファイル をダブルクリックで開いてもらうのが狙いです。 <写真じゃねぇ
 
イメージ 8
 
20160404_[数字]_resized.zip
 ↓ 解凍作業を行う

20160402_[数字]_resized.js
 

 
[4月7日、5月13日 追記...]
 
件名「Document(1)」とか「Document」で、ワード文書ファイル「Document(1).doc」「Document 2.docm」が添付されてる 迷惑メール(スパムメール) が投入されてます。
 
イメージ 7
 
イメージ 9
 
いわゆる マクロウイルス と呼ばれるブツで、Windows用の Microsoft Word で開いて、加えてマクロの動作を許可してしまうとアウトです。
 

 
[2016年6月 追記...]
 
メールの送信先を差出人と一致させる偽装トリックで、自分に宛てに文書やファイルを送信したかのよう装ったZIPファイル添付な迷惑メールがたくさん。
件名 doc[数字] / DOC[数字] / SCAN[数字] / FILE[数字] / document[数字] / Document[数字]
添付ファイル [件名と同じ].zip
本文 (なし)
解凍・展開すると不正なJavaScript/JScriptファイル(拡張子 .js)が登場し、Windowsパソコン上でこれをダブルクリックしてしまうとlocky/zeptoランサムウェアの感染となります。
関連するブログ記事

この記事に

  • 顔アイコン

    自分あてに来たので開けてしまいました。対処方法 ありましたら教えて下さい。

    [ あさり ]

    2016/3/23(水) 午前 2:41

    返信する
  • 顔アイコン

    このランサムウェアがインストールされるときに、UAC の警告ダイアログは出ないんでしょうか。

    Javascript のファイルをダブルクリックし、かつ UAC もスルーしなければ感染しないのだとしたら、むしろ感染するほうが難しい気がします。

    ちなみにマカフィーにこの Javascript を検査させてみましたが「問題は見つかりませんでした」とのこと。役に立たない……。

    [ fugafuga ]

    2016/3/23(水) 午後 7:57

    返信する
  • 顔アイコン

    > あさりさん
    情報が少なすぎて何とも…
    Windows上で 〜.js ファイルをダブルクリックしたということでしょうか?
    ランサムウェアに感染したら 〜.locky ファイルがたくさん出現する異変が起こるはず

    [ Firefly ]

    2016/3/24(木) 午後 9:28

    返信する
  • 顔アイコン

    > fugafuga さん
    Windowsにシャドウコピーというバックアップ機能があるんですが、ランサムウェアがそのデータを消去しようとする場面があって、そのタイミングでUACは出ます

    ただ、ランサムウェアそのものでUACが出る場面がなぜかないのでファイルを暗号化処理は継続してしまいます

    TeslaCryptランサムウェアの例だと
    → http://togetter.com/li/909748

    [ Firefly ]

    2016/3/24(木) 午後 9:43

    返信する
  • 顔アイコン

    数カ月前までウイルスメールの添付はマクロウイルス(拡張子 .doc など)だったけど、今はマクロウイルス絶滅したんじゃないかというぐらい(手元では)少なめに?

    代わって人気のJavaScriptファイル(拡張子 .js)はセキュリティ製品の単純なファイルスキャンではスリ抜け完璧!
    www.virustotal.com/ja/file/bb3bf989f12b5f38efb09dbaaf8f95a04a49be13812ab35f41e944511f4401bd/analysis/1458810560/
    www.virustotal.com/ja/file/53760fecb2014e4be43fd2dee484d81c8f8b4999af765f1f11cca5d57a78d787/analysis/1458810496/

    jsファイル(とwsfファイル)なんてダブルクリックする機会なぞないなら、無効化したり警告ダイアログ表示できます
    http://blogs.yahoo.co.jp/fireflyframer/34007375.html

    [ Firefly ]

    2016/3/24(木) 午後 10:23

    返信する
  • 明らかにおかしなメールだったので開けずに調べてみたら、やはりウィルスだったのですね
    怖いのでメール削除したいのですが、削除しても問題ないですか?

    [ kiy*t*kiyok* ]

    2016/3/25(金) 午前 0:40

    返信する
  • 顔アイコン

    ipadのメールアプリで開いた場合でもウイルスの感染はないのでしょうか?

    [ yasu ]

    2016/3/25(金) 午前 10:00

    返信する
  • 顔アイコン

    > kiy*t*kiyok* さん
    メール削除で問題ないです

    > yasu さん
    Windowsユーザーに踏ませるのが狙いです
    iPad = iPhone なので対象外〜

    [ Firefly ]

    2016/3/25(金) 午後 8:10

    返信する
  • > Fireflyさん
    ありがとうございました!

    [ kiy*t*kiyok* ]

    2016/3/25(金) 午後 8:24

    返信する
  • 顔アイコン

    > Fireflyさん
    安心しました。
    ありがとうございました。

    [ yasu ]

    2016/3/25(金) 午後 9:19

    返信する
  • 顔アイコン

    > Fireflyさん
    今ところ何も異常はなったです。
    ありがとうございました。

    [ あさり ]

    2016/3/28(月) 午後 0:02

    返信する
  • 顔アイコン

    [4月7日 追記...]のメール、私も本日届いておりました…。
    まぁマクロで怪しげで基本Word使わないので削除して無視だなと思いましたが、同様のものが過去にないかな?と検索かけたらまさかの当日。
    これはたくさん撒いてそうですね。 削除

    [ tes ]

    2016/4/7(木) 午前 11:11

    返信する
  • 顔アイコン

    いやー見事に引っかかってしまいました
    お遊び半分で開けたらAviraが反応してびっくりしましたね。
    調べてみたらJS/Dldr,Locky,kxcというウイルスなんですがLockyというファイルが一つも表示されてないので、これって問題ないんですかね

    [ kou*ar*us*zu*i050* ]

    2016/5/24(火) 午後 10:38

    返信する
  • 顔アイコン

    Windows狙って身代金ウイルスLockyの感染を企む迷惑メールが平日に引き続き受信して止まらんねぇ〜

    パソコンの損害よりも前に、まずは「人間の脳ミソ」の方をダマす手口だから超注意!

    【パターン1】
    ZIPなど圧縮ファイル ⇒ 展開すると中身は.jsファイル ⇒ ダブルクリックで感染アウト!

    【パターン2】
    ワード文書 .doc .docm ⇒ ダブルクリックで開く ⇒ コンテンツの有効化ボタンを押すと感染アウト!

    [ Firefly ]

    2016/5/26(木) 午後 8:11

    返信する
  • 顔アイコン

    こんばんは。
    先ほど自分のアドレスから
    自分のスマホ(Xperia)に
    Document3843171.zip
    という添付ファイル付きのメールが届き、
    いつの間に?と思い、
    添付ファイルを開いてしまいました。
    ファイルの中は文字化け?
    のようになっていて、
    何が書いてあるのかはさっぱり…でした。
    開いてしまった時点でまずいでしょうか?
    不安です。 削除

    [ あんな ]

    2016/6/28(火) 午前 2:43

    返信する
  • 顔アイコン

    >自分のスマホ(Xperia)に
    スマホや携帯電話は攻撃対象ではないです
    Windows上のみ

    ZIP圧縮ファイルを展開する必要があるけど、スマホだとそこから先に進めない〜

    [ Firefly ]

    2016/6/28(火) 午後 8:12

    返信する
  • 顔アイコン

    本文無しメールが6月27、28日にドバッと撒かれてますかい?

    メールの件名と添付ZIPファイル名が一致してます
    > document数字
    > doc数字
    > FILE数字

    自分宛てにファイル送ったかのよう差出人が偽装されてるので、無視できず確認したくなるユーザーさん続出?

    ウイルスメールきっかけで情報漏洩してしまったJTBの二の舞いにならないよ注意!

    [ Firefly ]

    2016/6/28(火) 午後 8:17

    返信する
  • 顔アイコン

    私のところにはDocumentではなくSCANで届きました。
    スマホ(Xperia)で踏んでしまいましたが、ウイルスソフトのスキャンにかけたら一応大丈夫そうでした…

    [ st**_ra**bo**16 ]

    2016/6/28(火) 午後 11:04

    返信する
  • 顔アイコン

    ZIP.Document.SCAN・・全て送られてきました(^_^;) 私のスマホ
    開きたい好奇心に負けないで良かった。

    [ umeko ]

    2016/6/29(水) 午前 8:43

    返信する
  • 顔アイコン

    日本語のもいっぱい来ますよ。
    タイトル例
    「宅急便お届けのお知らせ」
    「和解の件」
    「返済の件」
    ほとんどが、プログラムをjavascript内部で生成しevalで実行させることで、チェックを難しくさせてます。
    とりあえず、圧縮ファイルの添付を開く時は十分に気を付けた方が良いと思います。

    [ ggg*av*ty ]

    2016/7/2(土) 午前 10:32

    返信する

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(1)

本文はここまでですこのページの先頭へ
みんなの更新記事