ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ

書庫全体表示

Your Amazon order has dispatched迷惑メール ウイルス感染Lockyに注意!
 
{{{ 2016年11月21日 更新 }}}
 
イメージ 4
 
 
思わず 「ん!?」 となりかねない通販サイト Amazon.com(米国) や Amazon.co.uk(英国) に成りすまし注文商品の発送通知を装った 偽メール の紹介です。
 
イメージ 5
添付ファイル付きウイルスメール事例
件名 Your Amazon.com order has dispatched (#[数字]-[数字]-[数字])
件名 Your Amazon.co.uk order has dispatched (#[数字]-[数字]-[数字])
差出人 Amazon.com <auto-shipping@amazon.com>
差出人 Amazon.com <auto-shipping[数字]@amazon.com>
差出人 Amazon Inc <auto-shipping[数字]@amazon.com>
本文 (なし)
 または
Dear Customer,
Greetings from Amazon.com,
We are writing to let you know that the following item has been sent using [Royal Mail/FedEx/DHL Express].
For more information about delivery estimates and any open orders, please visit: http://www.amazon.com/your-account
Your order #[数字]-[数字]-[数字] (received [月] [日], 2016)
Your right to cancel:
At Amazon.com we want you to be delighted every time you shop with us.
ccasionally though, we know you may want to return items. Read more about our Returns Policy at: http://www.amazon.com/returns-policy/
(〜以下略〜)
dispatched = 発送した
 
日本の Amazon.co.jp ではなく、英語の意味も分からなかったりサッパリ縁のないユーザーさんの方が多いはず。
 
ただ、この通知メールを送信した差出人はアマゾンに 偽装 されてるので、見に覚えがなくても ”自分の名義で勝手に商品を注文された?” とか考えて無視できなくなと…。

添付ファイルを展開するとウイルス!

 
これを解凍・展開すると中身に 不正なスクリプトファイル(拡張子 .js) が登場したので、Windowsユーザーを狙いダブルクリックさせて開かせる攻撃手口になります。 <自爆感染!
 
イメージ 1
注文ORDER? 圧縮ファイルの中身は…
 
【Amazon.com/Amazon.co.uk偽装メールの添付ファイル】
ORDER-[数字]-[数字]-[数字].zip
 ↓ 手動で解凍・展開する

[数字]_[数字]
.js
F-[数字]-[数字]-[数字]-[数字].js
 
<5月17日 追記始め>
 
不正な Word文書ファイル拡張子 .docm)が添付されてる迷惑メールも投入されました。 マクロウイルス!!!
 
イメージ 3
 
【Amazon.com偽装メールの添付ファイル】
ORDER-[数字]-[数字]-[数字].docm
 
<追記終わり>
 
ちなみに、今でも流行ってるかのよう紹介してるところを見かけるけど、メールソフトのプレビュー、添付ファイルのプレビューでウイルス が強制的に起動してしまうことはありません。

起動するとランサムウェア Locky 感染

実際に、このJSファイルをポチポチっとダブルクリックして開いたところ、ナゾの 実行ファイル拡張子 .exe) が外部ネットワークからしれっとダウンロードされ起動しました。
 
イメージ 2
wscript.exe の下に実行ファイルが起動して感染した瞬間
 
この実行ファイルの正体は、Windowsパソコンをターゲットにファイルを暗号化して復号を盾に身代金を支払うよう脅迫するランサムウェア Lockyウイルス です。
 
《VirusTotalファイルスキャン》
MD5 b81868c62aff2cce264471e18f773175
www.virustotal.com/ja/file/ed8390885a6bcdda11cb51f8d3c2553625d1c567f221a490450f44d2ac3cec3a/analysis/1462296560/
 
ちなみに、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー、テレビ、ゲーム機 らへんは動作しないから攻撃対象外であり関係なし♪
関連するブログ記事

この記事に

  • 顔アイコン

    自分も危うく引っかかりそうになりました。。。
    ワードマクロ型に。
    これなんですが、添付されたものを開いてしまったのですが、マクロを有効にしない限りは問題ありませんか?
    現状PCに不具合等は確認できないのですが、少し不安です。

    [ pei*5*36 ]

    2016/5/17(火) 午前 11:38

    返信する
  • 顔アイコン

    「ORDER〜.docm」ファイルを開いたあと、[コンテンツの有効化]ボタンを押さないかぎり大丈夫です

    ただ、Office のセキュリティセンターで [すべてのマクロの有効にする] が選択されてたら、単に開くだけでアウトだけど

    画像 → http://blogs.c.yimg.jp/res/blog-10-d7/fireflyframer/folder/1109716/10/33627210/img_6

    [ Firefly ]

    2016/5/17(火) 午後 8:52

    返信する
  • 顔アイコン

    返答ありがとうございます。
    署名のないマクロは実施不可になってるんで大丈夫みたいでした。
    でも、よくこんなこと考えますよね・・・こんなこと考える頭あるなら、もう少し違うところに頭使ったらいいのに。

    [ pei*5*36 ]

    2016/5/18(水) 午前 8:25

    返信する
  • 顔アイコン

    [デジタル署名されたマクロを除き、すべてのマクロを無効にする] が有効なら、そもそもマクロが実行できないので100%セーフですな〜

    [ Firefly ]

    2016/5/18(水) 午後 8:35

    返信する

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(0)

本文はここまでですこのページの先頭へ
みんなの更新記事