ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ
NTT-X Store商品発送のお知らせ迷惑メール ウイルスはショートカットファイル

イメージ 1
Image いらすとや

実在する通販サイト NTT-X Store に成りすまして、注文したノートPCの発送通知を装った日本語表記の 迷惑メール(スパムメール) が9月21日、22日にバラ撒かれました。
件名 【NTT-X Store】商品発送のお知らせ
送信者 <tsuhan@nttxstore.jp>

注文番号X170516-[数字]-0
━━━━━
◎本メールは発送時に、自動送信されております。
━━━━━
毎度ありがとうございます。「NTT-X Store」です。
ご注文頂いております商品を発送させていただきましたのでご報告申し上げます。
詳しくはこちら
 商品コード EI[数字]
 型番    SA5-271-F58U/F
 商品名   SA5-271-F58U/F (i5/W10H64/H&Bprem/シルバー)
 JANコード  [数字]
 出荷数   1
 出荷日   2017/09/20
 運送便   佐川急便EDI
 送り状No  [数字]
【配送確認サービス】
下より送り状番号から配達状況・お問い合わせ先をお調べ頂けます。
荷物URL: 詳しくはこちら
なお、運送会社都合によりご指定の着日・時間帯にお届けできない場合がござい
ます。配送状況につきましては当店または運送会社に直接お問い合わせ下さい。
【販売店印について】
保証書の販売店欄は未記入となっております。
出荷時に商品と同梱しております「納品書」を販売店印とさせていただきます。
「納品書」は商品と同梱もしくは、運送会社送り状下のシート内に
封入しております。同梱されていない場合はお手数ですがご連絡下さいます
様お願い申し上げます。
尚、製品によっては、保証書が同梱されておりません。
その場合は「納品書」が当店での購入証明書となりますので、
大切に保管頂きますようお願い申し上げます 。
【領収書発行をご依頼いただいたお客様へ】
(1)お支払い方法:銀行振込・クレジットカード のお客様
  当店Webサイト上からpdf形式で発行・ダウンロードできます。
  ご注文時の購入状況(会員購入・ゲスト購入)により、申請〜発行方法が
  異なりますのでご注意下さい。
  ※領収書の発行について → 詳しくはこちら
(2)お支払い方法:代引き(佐川e-コレクト) のお客様
  商品の運送便送り状の一部が領収書になっています。当店発行のものを
  ご希望の場合はそちらをご返送いただければ差し替えで発行いたします。
  ※送付先住所はこちら → 詳しくはこちら
ご利用ありがとうございました。
またのご利用、心よりお待ち申し上げております。
―――――
NTT-X Store http://nttxstore.jp/
TEL:0120-[数字] (携帯電話からは 03-5746-[数字])
平日10:00〜19:00 土日祝日10:00〜18:00
MAIL:
tsuhan@nttxstore.jp
メールに添付ファイルはなく、本文に登場する4ヶ所の 『詳しくはこちら』 が誘導リンクになってます。

とにかく書かれてある文章に文法的な不自然さがなく完璧なのがヤバい。 <NTT-X Storeが送信する正当なメールの文面を流用してるようで

「NTT-X Store」からの「商品発送のお知らせ」を装うスパムメールにご注意ください – gooヘルプ
https://help.goo.ne.jp/help/article/2230/

zip圧縮ファイルからショートカットウイルス

リンクをクリックするとzip形式の圧縮アーカイブがダウンロードできます。

これを手動で展開・解凍して中身を確認すると 「NTT-X Store 注文の詳細内容」 という名前が付けられた Windows の ショートカットファイル でした。

《9月21日のメール攻撃》

イメージ 3
ダウンロードしたzipファイルの中身

処理内容は powershell.exe を介して外部ネットワークに接続し PowerShell スクリプトを読み込みます。

さらに、bitsadmin.exe を介して無害な実行ファイル(無料Telnet/SSHクライアント PuTTY) のデータをダウンロードしてくるようになってました。

イメージ 4
siembamba[.]com 185.141.27.200

【不正なショートカット】
MD5 8b03f2a3673a421a1bc4715b9ea81737
www.virustotal.com/ja/file/52698bfb1997507672761248bf5469404de2550a11d7667a07ab1ed84304d519/analysis/1505963562/

【無害なPuTTYの実行ファイル】
MD5 9bb6826905965c13be1c84cc0ff83f42

《9月22日のメール攻撃》

イメージ 2
ダウンロードしたzipファイルの中身

処理内容は bitsadmin.exe を介して外部ネットワークに接続し、Ursnifウイルス をダウンロードしてきて起動します。 <ネットバンキングなど不正送金被害へ

イメージ 5
siembamba[.]com 185.141.27.200

【不正なショートカット】
MD5 c9511d675946d7a09ae4cc968578350f
www.virustotal.com/ja/file/af71b6b0a7ecb36c0950f2bb7595656f1417a9b0c20d142e5c84978af2fc9ec3/analysis/1506058748/

【Ursnifウイルス】
MD5 1e60ccc19c0751d6ca15759de77a148b
www.virustotal.com/ja/file/090920d0df3dca39fa848569ca4bc60fc3244a39e9e1181bc78a54d3dcc7ae89/analysis/1506059397/

22日が本番で、その前日は攻撃者のテスト目的だったのかナゾだけど、Windows パソコン上でショートカットをポチポチッとダブルクリックしたらアウトです。 <注文の詳細内容なぞ表示されん

ショートカットウイルスの対策

ショートカットファイルにも拡張子 「〜.lnk」 がいちおうあるけど、Windows のエクスプローラ上では表示されない仕様が存在します。

メールでショートカットファイルのやり取りなぞ普通は行わないので、種類の表記アイコン左下の矢印マーク で見抜く必要があります。 <ただ現実的にそこに注意を払うユーザーさんがたくさんいるとは思えん

あと、外部通信で悪用されてる powershell.exe と bitsadmin.exe をWindowsファイアウォールなどでブロック しておくと、ショートカットファイルをうっかり踏み抜いても感染攻撃は確実に失敗するので有効です。

この記事に

開くトラックバック(0)

IE11ブラウザ タブの位置が下に移動&検索ボックス復活 戻すには?

イメージ 3
Image いらすとや

2017年9月に実施された Windows Update でマイクロソフトのブラウザ Internet Explorer(IE11) のウィンドウ画面右上に、キーワード検索用の 検索ボックス が表示されるようになりました。

イメージ 1
アドレスバーと検索ボックス、その下にタブバー

【該当するIE11の変更点】
Updates to Internet Explorer 11’s navigation bar with search box.
https://support.microsoft.com/ja-jp/help/4038782/
https://support.microsoft.com/ja-jp/help/4038777/

IEブラウザの検索ボックスは以前の IE9 から アドレスバーと統合 されたことで表示はいちおう消滅していたけど、この度なぜか復活した形です。

イメージ 4
IE8ブラウザ時代の検索ボックス
Image Microsoft

IEのアドレスバーとタブを横一列表示に戻すには?

検索ボックスの表示が復活した影響で、タブの表示位置が下の段に移動してます。

以前のようにアドレスバーの脇にタブが表示されるよう元に戻したいなら、ブラウザのツールバー上で右クリック → メニューから [別の行にタブを表示(H)] を切り替えればOK!

イメージ 2
IEのアドレスバーとタブの一列表示に戻せる
関連するブログ記事

この記事に

開くトラックバック(0)

eBay&Apple Pty Ltd迷惑メールでランサムウェア感染 無料で感染防ぐには?

イメージ 1
Image いらすとや

先週8月30日、今日9月6日にマルウェア感染を狙って不特定多数にバラ撒かれた英語表記の 迷惑メール(スパムメール) を紹介します。

イメージ 2
件名 E-invoice for your order #[数字]
送信者 APPLE <do_not_reply@asia.apple.com
> <do_not_reply@eu.apple.com>
添付ファイル [数字].7z
Dear Customer,
Thank you for shopping with Apple Pty Ltd
Please find enclosed your official Apple Tax Invoice.
Please retain a copy of this invoice for your records. Your Apple
invoice may also be required to obtain warranty services.
Thank you
イメージ 5
件名 Your invoice for eBay purchases ([数字]#)
送信者 eBay <ebay@ebay.com.au> <ebay@ebay.co.uk> <ebay@ebay.com.au> <
ebay@ebay.us> <ebay@ebay.com>
添付ファイル なし
eBay sent this message to ([メールアドレスの一部]).
Your registered name is included to show this message originated from eBay. Learn more.
Invoice
Dear [メールアドレスの一部],
Thank you for shopping on eBay! Your total amount due is USD $[数字].[数字]. Download and pay your invoice [数字].
[Pay Now]
いずれも実在企業を名乗っていて英語で意味が分からなくても目に留まらざるを得ず、送信者はいちおう本物の Apple や eBay になってるので 『怪しいメールの見分け方 … 送信者を確認する』 は通用しません。 <偽装されとる

スクリプトファイルからランサムウェア感染

具体的に何の商品を購入したのかメール本文には書かれてないけど、Invoice(請求書) の名目で添付ファイルを確認させる、あるいは誘導リンクを踏ませようします。

で、手元でゲットしたのは不正な処理を含んだ スクリプトファイル です。

イメージ 3
「[数字].vbs」ファイル

イメージ 4
「eBay_Invoice_[数字].js」ファイル
  • 圧縮アーカイブ .7z の中身 VBScript Script ファイル … 拡張子 .vbs
  • JavaScript ファイル拡張子 .js
このスクリプトファイル(→スクリプトウイルス)を仮にもポチポチッとダブルクリックして開くと、wscript.exe を介して外部ネットワークに接続し実行ファイル(拡張子 .exe)をダウンロードしてきてシレッと起動します。

イメージ 6
プロセスの様子 ナゾの実行ファイル(緑)が起動した瞬間

この実行ファイルの正体が Locky .lukitus .ykcolランサムウェア になります。

スマホは大丈夫?

スクリプトファイルの動作環境は Windows XP/Vista/7/8/10 なので、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はメールの受信はあっても実質的に影響はなく大丈夫です。

スクリプトウイルスの無害化

このウイルスメールからのランサムウェア被害を回避するには、効果的な 無料ウイルス対策 をあらかじめ実施しておきます。


これでスクリプトウイルスは無害化されるので、Windowsユーザーさんがうっかり踏み抜こうが、ランサムウェアの侵入が100%起こらず感染するところまでいきませんです。

この記事に

開くトラックバック(0)

Dropbox迷惑メールでランサムウェア感染 Please verify your email addressが危険

イメージ 2
Image いらすとや

オンラインファイルストレージ Dropbox を勝手に名乗り、メールアドレスの認証通知を装った英語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。

イメージ 1
送信者がDropboxに偽装されてるスパム
Please verify your email address
件名 Please verify your email address / Please verify your email address [メールアドレス] = あなたのメールアドレスを認証してください
送信者 Dropbox <no-reply@dropbox.com> <verify@dropbox.com>
添付ファイル なし
Hi [メールアドレスの一部],
We just need to verify your email address before your sign up is complete!
Verify your email
Happy Dropboxing!
多くのユーザーさんにとってサッパリ身に覚えがないはずで、驚いて思わず 「Verify your email」 リンクをポチッと踏んでしまう仕掛けです。 <偽Dropboxメールに添付ファイルはなし

誘導先の偽Dropboxからjsファイル!?

誘導先は外観デザインを Dropbox っぽく見せかけた 「Dropbox - Verify Email」 なる偽ページでした。 <URLは dropbox.com ではない

イメージ 3
IE11ブラウザでの偽Dropbox表示例

We were unable to verify your Dropbox account.
Please click here to download a new verification message.


イメージ 4
Chromeブラウザでの偽Dropbox表示例

The "HoeflerText" font was not found.
The web page you are trying to load is displayed incorrectly, as it uses the "HoeflerText" font. To fix the error and display the next, you have to update the "Chrome Font Pack" / "Mozilla Font Pack".

スクリプトファイル .js

ここでユーザーにナゾの JScript Script ファイル/JavaScript ファイル拡張子 .js)を開くよう促してきます。

イメージ 5
「Win.JSFontlib09.js」 ファイル

イメージ 9
「Dropbox-MSGCODE-[数字].js」 ファイル

【Nemucodウイルス】
www.virustotal.com/ja/file/decd71ae3b5e683f0c3d057ac0576cbd624ca10734e1984f15cb77fcd23c4a37/analysis/1504206980/

だた、この正体は認証用ファイルでもHoeflerTextフォントでも何でもなく スクリプトウイルス という脅威です。

いちおう .jsファイル の動作環境は Windows XP/Vista/7/8/10 パソコンだけなので、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境は、メールの受信はあっても攻撃対象外となり大丈夫です。

.jsファイル開くとランサムウェア感染

仮に.jsファイルを手動で開くと?

手元で確認すると wscript.exe を介して外部ネットワークに接続し、不正な実行ファイル(拡張子 .exe)をシレッとダウンロードしてきて起動する症状を確認しました。

イメージ 7
Windowsのプロセスの様子
ダウンロードされてきた実行ファイル(緑色)が起動して感染

イメージ 6
外部通信トラフィックの様子
ハッキングされた正規サーバーがウイルス置き場になってる

この感染した実行ファイルの正体は、Windowsパソコンの写真や文書など暗号化して破壊し身代金の支払いを要求する ランサムウェア Locky となります。 <Dropbox のアカウントを狙うフィッシング詐欺ではなし

【Lockyウイルス】
MD5ハッシュ値 1974edcb8326835d1ad1ca94d70a914a
www.virustotal.com/ja/file/19865bb16f4609b4703eaba1d773d60a85009b715274ad862ca4cbb5772c621a/analysis/1504207421/

この攻撃手口は、メール上の誘導リンクを思わずクリック → 即ランサムウェア感染という流れでは無い のでご安心を♪

ランサムウェア感染でファイル破壊

ランサムウェア Locky に感染すると、オリジナルファイルは 「[英数字].lukitus」 に変更されて白紙アイコン、各フォルダに脅迫文が記載されたHTMLファイル 「lukitus-[英数字].htm」 が作成されます。

イメージ 8
感染症状に拡張子lukitusファイル!?

スクリプトウイルスの無害化

怪しいメールを開くな』 といった必ずしも実現できない精神論ではなく、この攻撃手口に効果的なWindowsパソコン向け 無料ウイルス対策 を紹介♪


あらかじめスクリプトウイルスを無害化しておくと、Windowsユーザーさんがヒューマンエラーをキッカケに不正なスクリプトファイルをうっかり開いても、メインのマルウェアが侵入する前に確実に防げるので感染しません。

メールの内容にいちいち振り回されることがなくなります。
関連するブログ記事

最終更新日: 2017/09/11

この記事に

開くトラックバック(0)

日本郵便追跡サービス迷惑メールでウイルス感染 js/pifファイルが危険

イメージ 5
Image いらすとや

7月20〜21日に 日本郵便追跡サービス を勝手に名乗り、ウイルス感染を企む日本語表記の 迷惑メール(スパムメール) が不特定多数に配信されました。 <文章は 郵便局や日本郵政を名乗るメールで以前から使い回されてる
件名 日本郵便追跡サービス [数字] / RE:[EMS_[数字]]
送信者 <〜@mail.com> / 日本郵便追跡サービス / Japan Post 郵便局

拝啓
配達員が注文番号( [数字] )の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。
従ってご注文の品はターミナルに返送されました。
ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。
このメールに添付されている委託運送状を印刷して、最寄りの郵便局 ? 日本郵政取り扱い郵便局までお問い合わせください。
敬具
EMS(国際スピード郵便) ? 郵便局 ? 日本郵政
手元では エクセルファイル(拡張子 .xls)を添付したウイルスメール が7月19日に着弾してるものの、このメールはなぜか1通も来ず。

添付ファイル以外にリンクで誘導も

攻撃手口は典型的なメールの 添付ファイル を確認するよう仕向ける以外に、添付ファイルがなく本文中の 誘導リンク を踏ませてファイルをダウンロードさせる手口も投入されてます。

《1》 メールの添付ファイル

添付されてる圧縮アーカイブを展開・解凍すると中から スクリプトファイル(拡張子 .js) が登場し、ユーザーの意思でダブルクリックさせて開かせる手口です。

.zip形式の圧縮アーカイブ 「日本郵便追跡サービス_[数字].zip
 ↓ 展開・解凍する
スクリプトファイル 「(文字化け)_[数字].js」「日本郵便追跡サービス_[数字].js
 ↓ ダブルクリックして開く
ネットバンキングウイルス Ursnif をダウンロードしてきて感染


また、スクリプトファイル(拡張子 .jse) を内部に埋め込んだWordファイル(拡張子 .docx)を添付してるパターンも投入されてます。

ワードファイル 「日本郵便追跡サービス_[数字].docx
 ↓ Microsoft Word で開く
文書上に埋め込まれたスクリプトファイル 「[英数字]
.jse
 ↓ 画像領域をダブルクリックする (下の画像)
開くか確認ダイアログが表示される
 ↓ 開くボタンを押す
ネットバンキングウイルス Ursnif をダウンロードしてきて感染

イメージ 7

《2》 メール本文中の誘導リンク

DOSファイル拡張子は .pif だけど Windows の仕様で表示されない

イメージ 3
「請求書_7192017.pif」「7192017.pif

この不正なファイルが、正規のファイル共有サイト上にアップされてたり、ハッキングされてる一般サイトにアップされてたり〜。

イメージ 1
ダウンロード数 190

イメージ 2
ロシア語圏ユーザーを狙うファイルも置かれてる

○ .zip形式の圧縮アーカイブ

ハッキングされてる一般サイトに圧縮アーカイブ 「label_trackservice.zip」 がアップされていてダウンロードさせる手口も?

これを展開・解凍すると、中身は スクリプトファイル(拡張子 .js) でした。

イメージ 4
「日本郵便追跡サービス .js

このスクリプトファイルを手元で開くと、wscript.exe を介して外部ネットワークに接続しWindows向け実行ファイルをダウンロードしてシレッと起動します。

イメージ 6

Ursnifウイルスに感染

感染ウイルスはネットバンキング不正送金に繋がる Ursnif(アースニフ) です。

【Ursnifウイルス】
MD5 73853a2a7cf7e090d8151416251a224a
www.virustotal.com/ja/file/eea74cc0e7c074a2259eb8ddfff2b0974bafb25cf62dfde9217072583a78b73b/analysis/1500597777/

MD5 40ed37fa9d3ce22e90646a7674b340ce
www.virustotal.com/ja/file/4d875ca450eb8647cbb6cdb9dc50675f32458814df69075351ce95da384bc5a5/analysis/1500506502/

MD5 b3ea30d81d8fdbb19adc238fb588a40a
www.virustotal.com/ja/file/4b8f54349de42ea41afa3d271f269bb8de99795cd74bb3a38602be748425c839/analysis/1500849818/

一連の攻撃はWindowsパソコンのみ感染ターゲットなので、それ以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー は影響なく大丈夫です。
関連するブログ記事

この記事に

開くトラックバック(0)

[ すべて表示 ]

本文はここまでですこのページの先頭へ
みんなの更新記事