ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ
ヤマト宅急便納品完了のお知らせ? 画像送付? スパムメールでウイルス感染

イメージ 2
Image いらすとや

運送会社ヤマト運輸に成りすました偽の宅急便通知や写真の送信ネタを装った日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
宅急便納品完了のお知らせ
送信者 <mails@kuronekoyamato.co.jp>

ヤマト運輸をご利用いただきありがとうございます。
宅急便をお受け取り店舗へ納品しましたので、ご来店ください。
■伝票番号:[数字]
お受け取りの際は、下記のものを必ずご持参ください。
1.本人確認証(運転免許証等)
2.ご印鑑
〈お問合せ先〉
ヤマト運輸株式会社
お客様サービスセンター
0570-200-***
※このメールに返信されましても、お答えする事は出来ませんのでご了承願います。
画像送付
お世話になります。
画像を添付致しますので
宜しくお願い致します
日本語の文章に文法上の不自然さは無く、目に留まって無視できず 『怪しいメールを開くな』 がとても実現不能となる嫌らしいスパムです。

添付ファイルはウイルス.exe

メールの添付ファイルはzip形式の圧縮アーカイブなので、手元で展開・解凍して中身を確認すると次のような Windows向け実行ファイル(拡張子 .exe) でした。

イメージ 1
拡張子の知識 で怪しい不自然さにすぐ気づける

□ FPC 543086121301.pdf.exe
fdd93722ceb4829072dd506f53b3290d 
www.virustotal.com/ja/file/3e325fe43a78054dad21049abc7ea56510959eb2da5a1e21dae3fe168106cade/analysis/1468960123/
※ 去年2016年7月に投入された古すぎな検体 Bebloh ウイルスなのでミスった???

■ img119028093309388.JPG.exe
■ XLS0829901999288883.pdf.exe
4f8ee626e23c3374d7a5ca5d25920f32
www.virustotal.com/ja/file/c9704ea156a637add087e25da2ec42bd6e4ee2238117c5f489777d8516dee059/analysis/1492669991/

■ K_BSSV110-1009AN.png.exe
0ac4eb1a3304966e48580ad4c1a3e287
www.virustotal.com/ja/file/92300539b96cb67cd4d1df7ab7d39d9b4e53a0c33cc74311bc3a8154f3f01903/analysis/1492673648/


この実行ファイルの正体はネットバンキング不正送金被害へ繋がるマルウェア アースニフ/Ursnif(その派生 Dreambot) になります。

攻撃者はファイル名に二重拡張子を施して JPEG写真、PNG画像、PDF文書 と思い込ませようとしてるので、それに対抗するには ファイルの種類(拡張子)に注目して見極める ことがポイントです。

Q. 影響する環境は? スマホは大丈夫?

.exeファイルの動作環境はWindows XP/Vista/7/8/10パソコンです。

つまり、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境は感染ターゲットではないことになります。

Q. 何を行うとウイルス感染?

.exeファイルをユーザーの意思でダブルクリックして開いたら感染です。

逆に言うと、その前の時点 「メールを開いて本文を読んだ」「メールソフトのプレビューでメールの内容が表示された」「圧縮アーカイブzipをダブルクリックした」 だけではまだ感染する段階に至ってません。
関連するブログ記事

この記事に

開くトラックバック(0)

郵便局EMS日本郵政迷惑メール 配達員が注文番号でウイルスexe感染危険

イメージ 2
Image いらすとや

郵便局/日本郵政に成りすまして商品のEMS発送通知っぽく装った 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
件名 ?iso-2022-jp?B?GyRCMyQzMCROTTlKWDZJJWolcyUvGyhCIC0gGyRCRnxLXE05SlgbKEI=?=
件名 Express Mail Service (EMS)
送信者 <info.postal@express.japanpost.jp> <info.ems@ems.japanpost.jp> <jp-express@postal.japanpost.jp> <info.ems@post.japanpost.jp> <info-express@ems.japanpost.jp> など
拝啓
配達員が注文番号( [数字] )の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。
従ってご注文の品はターミナルに返送されました。
ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。
このメールに添付されている委託運送状を印刷して、最寄りの郵便局 - 日本郵政取り扱い郵便局までお問い合わせください。
敬具
EMS(国際スピード郵便) - 郵便局 - 日本郵政
日本語で表示されるべき件名は、多くが 「?iso-2022-jp?B?うんたら〜」 みたく文字化けしていて、本来は↓のような変換後の文字を提示したかったのだろうけど攻撃者側がミスった感じ?

・ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】ウイルス付メールが拡散中!件名は「Express Mail Service(EMS)」「予告無しの連絡先変更やアドレス変更」「海外の郵便局リンク‐日本郵便」「EMS配達状況の確認‐郵便局‐日本郵政」。ご注意ください!"
https://twitter.com/MPD_yokushi/status/854143985790500864


ほぼ似た文章のメールは 2015年 や 2016年 にも配信されていて、その時はネットバンキング不正送金ウイルス Rovnix の感染を狙ってました。

添付ファイルの中身はウイルスexeファイル

メールの添付ファイルはzip形式の圧縮アーカイブなので、解凍・展開してみると次のような Windows向け実行ファイル(拡張子 .exe) が登場します。

イメージ 1
”委託運送状” でも何でもない実行ファイル

二重拡張子を施してPDF文書とユーザーに誤認させようとしてるけど ファイルの種類(拡張子) に注意を払えば異変に気づけて脅威を見抜けます。

■ (204700938849221)_EMS.JP.PDF.exe
c0e5e6ab4053c57fee1c06cb2a03f77c
www.virustotal.com/ja/file/523fd989046e60f45edd9a2b96870c5cc9ad46ad784af7cba33f98a6a7ee08e0/analysis/1492499239/

■ E M S ( 320950286501108 ) . PDF.exe
8b02bef795df2b42e342c6c407d24d72
www.virustotal.com/ja/file/9865832d5fb7c3b3b5353c50d8e602d10b1d8152c441178026157992f554f970/analysis/1492473553/

この実行ファイルの正体はネットバンキング不正送金被害へ繋がる Ursnif(読み方 アースニフ) ウイルスです。 <その派生 Dreambot

Q. 影響する環境は? スマホは大丈夫?

.exeファイルの動作環境はWindows XP/Vista/7/8/10パソコンだけです。

つまり、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんの環境は攻撃対象ではないことになります。

Q. 何を行うとウイルス感染?

.exeファイルをユーザーの意思でダブルクリックして開いたら感染です。

逆に言うと、その前の時点 「メールを開いて本文を読んだ」「メールソフトのプレビューでメールの内容が表示された」「圧縮アーカイブzipをダブルクリックした」 だけではまだ感染する段階に至ってません。

この記事に

開くトラックバック(0)

pdfファイル添付の迷惑メール実例 マクロウイルス開いて感染 対策は?

イメージ 5
Image いらすとや

最近、添付ファイルとして必ずしも不自然ではない PDF文書拡張子 .pdf) が付いてる 迷惑メール(スパムメール) が確認されてます。 <画像をスキャンしてPDFに変換した通知を装うパターン

イメージ 1

イメージ 6
英語表記のpdf付き迷惑メール実例

【迷惑メールの件名例】
Scan Data
Scanned file
Scanned document
uk_confirmation_ph[数字].pdf
Copy of your 123-reg invoice ( 123-[数字] )
Scanned Image from a Xerox WorkCentre
Receipt [数字]
Payment Receipt [数字]
Payment [数字]
Scanned image from MX-2600N
[数字].pdf
confirmation_[数字].pdf
paper
Document_[数字]
Scan_[数字]
https://blogs.yahoo.co.jp/fireflyframer/34584729.html

このPDFファイルをWindows向け無料閲覧ソフト Adobe Reader で開いてみると、次のような見慣れない確認ダイアログが表示されます。

イメージ 2
pdfを開いた直後に表示されたダイアログ
ファイル「〜〜〜.docm」には、コンピューターに損傷を与えるプログラム、マクロまたはウイルスが含まれている可能性があります。安全が確認された場合にのみこのファイルを開いてください。次のいずれかを選択してください。無題な濃いログ
● このファイルを開く(O)
○ このタイプのファイルを開くことを常に許可する(A)
○ このタイプのファイルを開くことを許可しない(N)
いちおう 「コンピューターに損傷を与えるプログラム、マクロまたはウイルスが含まれている可能性」 と警告するけど、この状況を理解できなかったり手が滑って [OK]ボタン をポチッと押してしまうと、Wordファイル(拡張子 .docm) を開いてしまうハメに…。 <最初から [このファイルを開く] にチェックマークが入ってる

この Wordファイル の正体はWindowsパソコン向けの マクロウイルス で、いちおう Microsoft Word で開かれても マクロの動作を許可する作業 が必要となり即刻ウイルス感染とはいかないけど危なっかしぃ〜。 <Macやスマホは大丈夫

Adobe Reader の設定で無料ウイルス対策

この手口を緩和する無料対策として Adobe Reader の設定を変更します。
  1. Adobe Readerメニュー [編集] → [環境設定] をポチッとな
     
  2. [信頼性管理マネージャー] → [外部アプリケーションで PDF 以外の添付ファイルを開くことを許可] のチェックマークを 外す
こうしておいた場合に同じPDFファイルを開いてみると、次のような確認ダイアログが表示されて Wordファイル(拡張子 .docm) を開かせてくれません。

イメージ 3
「添付ファイルを開くことができません。」

ただ、これでもいちおう抜け道があって、手動でファイルをいったん保存(出力)することは可能なので、指示するメッセージを工夫することで自爆へ誘導できなくもない?

イメージ 4

Google Chrome & Microsoft Edge

PDFビューアーも実装されてるブラウザ Google Chrome や Microsoft Edge の場合は、手元で確認してみるとPDF内の添付ファイルを開く機能が実装されてないようなので影響せず対処不要です。
関連するブログ記事

この記事に

開くトラックバック(0)

日本郵便集荷依頼申込み? 送り状の用意? 阪本様? 迷惑メールにウイルスexeで危険

運送会社の集荷ネタで 日本郵便株式会社 に成りすましたもっともらしい日本語表記の 偽メール や、ビジネス的な内容でほんの数行の不審な 迷惑メール(スパムメール) が不特定多数にバラ撒かれました。
[日本郵便] 集荷依頼申込み完了のお知らせ / 送り状の用意:用意済み / 集荷希望日
受付番号:S[数字]
この度は日本郵便のWeb集荷サービスをご利用頂きありがとうございます。
上記の受付番号は、お問い合わせ・内容修正・申込取消の際に必要となります。
このメールを保存または印刷していただくよう、よろしくお願いします。
お申込み内容は以下のとおりです。
--------------------------
電話番号:[数字]-[数字]-[数字] 内線:
集荷希望日:2017年04月11日
集荷希望時間帯:15:00‐17:00
商品:[数字]
個数:1個
送り状の用意:用意済み
-------------------------
なお、このメールアドレスは送信専用となっております。
本メールに返信されましても、ご質問等にお答えすることは出来かねますのでご了承ください。
〒---------------------〒
日本郵便株式会社
〒100-8798 東京都千代田区霞ヶ関一丁目3‐2
 ゆうびんホームページ
 http://www.post.japanpost.jp/
〒--------------------〒
ご確認
阪本様
お世話になっております。
月額管理費ですが、月額[数字],000円で認識はあっていますでしょうか。
宜しくお願いします。
の陳述書
PDFですが、がひっくり返っていますので見難いかと思いますがよろしくお願い
します。
原本は明日郵便で送信します。
日本郵便のスパムは送信者・差出人のところがデタラメで、本物のドメイン名 <noreply@*.post.japanpost.jp> や、それっぽく見える <no-reply@*.post.japan-post.jp> <noreply@*.post.n-japanpost.jp> のように偽装されてます。

添付zipファイルの中身はウイルスexe

メールの添付ファイルはいずれもzip形式の圧縮アーカイブなので解凍・展開してみると、中身は次のような Windows向け実行ファイル(拡張子 .exe) でした。

イメージ 1
「〜.docx.exe」「〜.pdf.exe」の実行ファイル

攻撃者の企みで、ファイル名や二重拡張子で工夫してユーザーに PDF文書Word文書 と思い込ませようとするけど、ファイルの種類(拡張子) に注目する ことで偽装はすぐ分かって踏み抜いたら危険と判断できます。

■ S13217604307275-20170411-12.pdf.exe
3eb775b424cac97180de7a8b5f8f937e
www.virustotal.com/ja/file/d5f5983a60cd0ef1c4efb43af6e1de99e2650ca599e31e61acd8fbbbec3659ee/analysis/1491944657/

■ S908388309287182-20170411.pdf.exe
f4ad4551ce11ff14965361995ccebfb1
www.virustotal.com/ja/file/4b3036af2e5d23f0e4bd0d6a206a1bf3b59fa2a1c420ed3e161ca0ad69ab5dc7/analysis/1491897593/

■ C-01054301- 34009212 2544_doc.docx.exe
ea7d9570e74775f5c0e9c27e01b3fd9e
www.virustotal.com/ja/file/d5dfa0a299219067b49f1476b652e12583a89d8bb65ebdd885bd2e93af2c68da/analysis/1491941543/

■ PDF201704.0222900299111.pdf.exe
51e16fd2f851656ec83d0fc2a000e4e3
www.virustotal.com/ja/file/7bf589d375dc028d394fd947bb7a16149ff8ef939c4168d650c54df9a90c16aa/analysis/1491979837/

この不正なファイルの正体はネットバンキング不正送金被害となるウイルス Ursnif(読み方 アースニフ) です。 <その派生 Dreambot として報じられてる

Q. 影響のある環境は?

.exeファイルの動作環境はWindows XP/Vista/7/8/10パソコンだけです。

つまり、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんの環境はスパム受信はあっても攻撃対象ではないことになります。

Q. 何をするとウイルス感染?

.exeファイルをユーザーの意思でダブルクリックして開いたら感染アウトです。

逆に言うと、その前の時点 「受信したスパムを開いて本文を読んだ」「プレビュー機能でメールの内容が表示された」「圧縮アーカイブzipをダブルクリックした」 だけではまだ感染するところに至ってません。

この記事に

開くトラックバック(0)

宅急便お届けのお知らせ偽メール 添付zipの中はウイルスexeで危険

イメージ 2
Image いらすとや

写真や画像を送信したかのよう装う日本語の 迷惑メール(スパムメール)や、ヤマト運輸株式会社を勝手に名乗り荷物の配達通知を装う 偽メール が不特定多数に配信されてます。

・ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「写真添付」「支払い」「デスクトップ画像」「画像」「写真」。本文は添付写真等の確認を求める内容となっていますが、添付ファイルは写真等を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/851344705237299201
件名 宅急便お届けのお知らせ
送信者 ご不在連絡eメール

■お届け予定日時
4月10日 時間帯希望なし
※お届け予定日時につきましては、ゴルフ・スキー・空港宅急便(施設宛)の場合、プレー日(搭乗日)を表示しております。
■品名:_
■商品名:宅急便
■ご依頼主:
■伝票番号:[数字][数字][数字]
ヤマト運輸株式会社
お客様サービスセンター
心当たりなくても「ん? 」となって目に留まらざるを得ない内容で、よく見かける 『怪しいメールを開くな』 がサッパリ実現できなくなる攻撃者の戦法に注意が必要です。

添付ファイルzipの中はウイルスexe

メールの添付ファイルは zip形式の圧縮アーカイブ ということでファイルを解凍・展開すると、中からこんな感じに Windows向け実行ファイル(拡張子 .exe) が登場します。

イメージ 1
ファイルの種類(拡張子)に注意を払うと不審なところを見抜ける

ファイル名や二重拡張子で PDF文書JPEG画像 とユーザーに誤認させようとしてるけど、この正体はネットバンキング不正送金被害へ繋がる UrsnifDreambot) ウイルスです。

■ n・931_0029_7301_kuronekoyamato.co.jp.pdf.exe
38a0422ca2ed05c129a0df3c95a01bfc
www.virustotal.com/en/file/97aa812914608290c9809379fa2cd8dfb19a27368a8358112322d3a174a057ff/analysis/1491808685/

■ Img_002983 IMG005.jpeg.exe
a183d51fcce53092b3f1a89f180bdd01
www.virustotal.com/en/file/6907d3bc37715cebb6ef38554fe9c9b86f4a6c0030b653e28eb93914583568e0/analysis/1491806924/


Q. 影響する環境は?

.exeファイルが動作する環境はWindows XP/Vista/7/8/10パソコンです。

つまり、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はメールを受信することはあっても攻撃対象ではないと分かります。

Q. 何をするとウイルス感染?

.exeファイルをユーザーの意思でダブルクリックして開いたら感染アウトです。

言い換えると、その前の段階 「メールを受信した」「メールを開いて本文を読んだ」「プレビューでメールの内容が表示された」「圧縮アーカイブzipをダブルクリックした」 だけではまだ感染するところに至ってないです。

この記事に

開くトラックバック(0)

[ すべて表示 ]

本文はここまでですこのページの先頭へ
みんなの更新記事