ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ

書庫全体表示

送信者は自分自身!? 迷惑メール正体とdocm/wsf/js拡張子ウイルスに注意

{{{ 2016年7月 更新 }}}

イメージ 11
Image いらすとや

本文らしい文章はないものの、送信者が 自分自身のメールアドレス になってる英語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
件名 doc[数字] / DOC[数字] / SCAN[数字] / FILE[数字] / document[数字] / Document[数字] / Emailing: Image ([数字]).gif / Emailing: Image ([数字]).jpg / Emailing: Image ([数字]).pdf / Emailing: Image ([数字]).png / Emailing: Picture ([数字]).gif / Emailing: Picture ([数字]).pdf / Emailing: Picture ([数字]).png / Attached: IMG([数字]) / Attached: Receipt([数字]) / Attached: Photo([数字]) / Copy: IMG([数字]) / Copy: Photo([数字]) / Copy: Picture([数字]) / Emailing: IMG([数字]) / Emailing: Photo([数字]) / File: Photo([数字]) / File: Picture([数字]) / Copy: INV([数字]) / Document (1).pdf / CCE29032016うんたら〜系
送信者 <自分自身のメールアドレス>
本文 なし
件名 Photos [数字]
送信者 <自分自身のメールアドレス>

Envoyé de mon Galaxy S6 edge+ Orange
件名 Attached Image
送信者 <自分自身のメールアドレス>
The information in this email is confidential and may be privileged.
If you are not the intended recipient, please destroy this message and notify the sender immediately
件名 Image[数字].pdf
送信者 <自分自身のメールアドレス>
Sent from my Sony Xperia™ smartphone
自分宛てにファイルを送信したかのように見えて目に留まらざるをえず、身に覚えがないけど添付ファイルを確認したくなる巧妙な手口です。

送信者が自分自身のメールアドレスに偽装されてる影響でスパムフィルタをスリ抜けるやもしれん…。

圧縮ファイルの中身はスクリプトファイル

メールの添付ファイルは、件名とほぼ同じ名前が付けられたzip形式やrar形式の圧縮アーカイブです。

イメージ 1
Document1.zip Document2.zip Document7.zip…

イメージ 3
Imageうんたら〜.zip

中身が何なのか表面的に分からないのも興味をそそり、手元で圧縮アーカイブを解凍・展開してみると次のファイル形式が登場しました。
  • JavaScriptファイル / JScript Scriptファイル … 拡張子 .js .jse
  • Windows Scriptファイル … 拡張子 .wsf
自分が自分宛てに文書を送信!?

イメージ 2
ダブルクリック厳禁! 決して文書ではない

【メールの添付ファイル】
Document[1〜2ケタの数字].zip / Document [1ケタの数字].zip
 ↓ 解凍・展開する
[英数字].js
Document[数字].js

【メールの添付ファイル】
[件名と同じ].zip / [件名と同じ].rar
 ↓ ユーザーが解凍・展開する
CCE29032016_[数字].js
[英数字].js

自分が自分宛てに画像や写真を送信!?

イメージ 4

イメージ 7
ダブルクリック厳禁! 決してJPEG写真ではない

【メールの添付ファイル】
Image[数字].zip
 ↓ ユーザーが手動で解凍・展開する
[英数字].js

【メールの添付ファイル】
20160404_[数字]_resized.zip
 ↓ ユーザーが解凍・展開する
20160402_[数字]_resized.js

イメージ 10
ダブルクリック厳禁! 画像や写真ではありません

【メールの添付ファイル】
IMG([数字]).zip / Photo([数字]).zip / Picture([数字]).zip
 ↓ ユーザーが解凍・展開する
Picture[数字].wsf / IMG[数字].wsf

これらは スクリプトウイルス という分類で、ファイル名だけ見ると勘違いしそうだけど、決して 文書や画像ではないファイルの形式(拡張子) です。

ちなみに、この形式はWindowsパソコンだけが動作対象なので、Mac OS、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境はメールの受信はあっても影響せず大丈夫♪



<追記...> メールに Microsoft Office の ワード文書拡張子 .doc / .docm) が添付されてるパターンも確認しました。
件名 Document(1) / Document / [英数字] / File: [英数字] / Scan: [英数字] / RE [英数字] / Emailing [英数字] / FW: [英数字] / MSG: [英数字] / File: [英数字] / Documents from work / Attached Image
送信者 <自分自身のメールアドレス>
本文 なし
添付ファイル Document(1).doc / Document 2.docm / [ランダム英数字].docm / Untitled(1).docm / [数字]_[数字].docm
イメージ 6

イメージ 8

イメージ 9

いわゆる マクロウイルス と呼ばれる脅威で、Windowsパソコンの Microsoft Word で開いて、ユーザーがマクロの動作を許可する作業(コンテンツの有効化) で攻撃を喰らいます。

ダブルクリックでランサムウェア感染

jsファイルやwsfファイルを Windowsパソコン 上でポチポチっとダブルクリックして開いたら ランサムウェア(身代金型ウイルス) の1つ Locky が外部ネットワークとダウンロードされ感染しました。

 イメージ 5
不正なJSファイルを実際にダブルクリックして開く
スクリプト wscript.exe の下にナゾの実行ファイルがー


この実行ファイル(上の画像で緑の)をオンラインスキャンサイト VirusTotal に投げてみると、セキュリティソフトのウイルス定義データで脅威としない新鮮な亜種検体が投入されてます。

www.virustotal.com/ja/file/ddb80a24da8bec08eeac77e0a7ea13e48805a302290555d4bcb5d86d9080b13c/analysis/1458217419/

ランサムウェアに感染すると、大事な文書や写真が次々と破壊されていき身代金払えという展開になるワケです。

スクリプトウイルスとマクロウイルスの対策

不審なファイルを開くな』 と言われるけど、一方で人間は ヒューマエラー をやらかすことは過去の様々な事故で分かっていて、何だかんだ最後に感染の引き金を引きます。 <心意気で何とかするのは無謀

加えて、メールに添付されてるのが実行ファイル(拡張子 .exe /.scr)ではない スクリプトファイル や Officeファイル なので、セキュリティソフトをスリ抜ける確率も格段に上がります。

そこで、”怪しい” と見抜けないユーザーさんが出現するのは当然と考えて、それを前提に ランサムウェア などマルウェアの侵入を防ぐ無料ウイルス対策↓ があるのでぜひ!
関連するブログ記事

この記事に

  • 顔アイコン

    > kiy*t*kiyok* さん
    メール削除で問題ないです

    > yasu さん
    Windowsユーザーに踏ませるのが狙いです
    iPad = iPhone なので対象外〜

    [ Firefly ]

    2016/3/25(金) 午後 8:10

    返信する
  • > Fireflyさん
    ありがとうございました!

    [ kiy*t*kiyok* ]

    2016/3/25(金) 午後 8:24

    返信する
  • 顔アイコン

    > Fireflyさん
    安心しました。
    ありがとうございました。

    [ yasu ]

    2016/3/25(金) 午後 9:19

    返信する
  • 顔アイコン

    > Fireflyさん
    今ところ何も異常はなったです。
    ありがとうございました。

    [ あさり ]

    2016/3/28(月) 午後 0:02

    返信する
  • 顔アイコン

    [4月7日 追記...]のメール、私も本日届いておりました…。
    まぁマクロで怪しげで基本Word使わないので削除して無視だなと思いましたが、同様のものが過去にないかな?と検索かけたらまさかの当日。
    これはたくさん撒いてそうですね。 削除

    [ tes ]

    2016/4/7(木) 午前 11:11

    返信する
  • 顔アイコン

    いやー見事に引っかかってしまいました
    お遊び半分で開けたらAviraが反応してびっくりしましたね。
    調べてみたらJS/Dldr,Locky,kxcというウイルスなんですがLockyというファイルが一つも表示されてないので、これって問題ないんですかね

    [ kou*ar*us*zu*i050* ]

    2016/5/24(火) 午後 10:38

    返信する
  • 顔アイコン

    Windows狙って身代金ウイルスLockyの感染を企む迷惑メールが平日に引き続き受信して止まらんねぇ〜

    パソコンの損害よりも前に、まずは「人間の脳ミソ」の方をダマす手口だから超注意!

    【パターン1】
    ZIPなど圧縮ファイル ⇒ 展開すると中身は.jsファイル ⇒ ダブルクリックで感染アウト!

    【パターン2】
    ワード文書 .doc .docm ⇒ ダブルクリックで開く ⇒ コンテンツの有効化ボタンを押すと感染アウト!

    [ Firefly ]

    2016/5/26(木) 午後 8:11

    返信する
  • 顔アイコン

    こんばんは。
    先ほど自分のアドレスから
    自分のスマホ(Xperia)に
    Document3843171.zip
    という添付ファイル付きのメールが届き、
    いつの間に?と思い、
    添付ファイルを開いてしまいました。
    ファイルの中は文字化け?
    のようになっていて、
    何が書いてあるのかはさっぱり…でした。
    開いてしまった時点でまずいでしょうか?
    不安です。 削除

    [ あんな ]

    2016/6/28(火) 午前 2:43

    返信する
  • 顔アイコン

    >自分のスマホ(Xperia)に
    スマホや携帯電話は攻撃対象ではないです
    Windows上のみ

    ZIP圧縮ファイルを展開する必要があるけど、スマホだとそこから先に進めない〜

    [ Firefly ]

    2016/6/28(火) 午後 8:12

    返信する
  • 顔アイコン

    本文無しメールが6月27、28日にドバッと撒かれてますかい?

    メールの件名と添付ZIPファイル名が一致してます
    > document数字
    > doc数字
    > FILE数字

    自分宛てにファイル送ったかのよう差出人が偽装されてるので、無視できず確認したくなるユーザーさん続出?

    ウイルスメールきっかけで情報漏洩してしまったJTBの二の舞いにならないよ注意!

    [ Firefly ]

    2016/6/28(火) 午後 8:17

    返信する
  • 顔アイコン

    私のところにはDocumentではなくSCANで届きました。
    スマホ(Xperia)で踏んでしまいましたが、ウイルスソフトのスキャンにかけたら一応大丈夫そうでした…

    [ st**_ra**bo**16 ]

    2016/6/28(火) 午後 11:04

    返信する
  • 顔アイコン

    ZIP.Document.SCAN・・全て送られてきました(^_^;) 私のスマホ
    開きたい好奇心に負けないで良かった。

    [ umeko ]

    2016/6/29(水) 午前 8:43

    返信する
  • 顔アイコン

    日本語のもいっぱい来ますよ。
    タイトル例
    「宅急便お届けのお知らせ」
    「和解の件」
    「返済の件」
    ほとんどが、プログラムをjavascript内部で生成しevalで実行させることで、チェックを難しくさせてます。
    とりあえず、圧縮ファイルの添付を開く時は十分に気を付けた方が良いと思います。

    [ ggg*av*ty ]

    2016/7/2(土) 午前 10:32

    返信する
  • 顔アイコン

    感染の引き金となるファイルの種類(拡張子)に注目する対策で海外からの猛攻勢に対抗を〜

    【日本語メール】
    添付ファイル .zip ⇒ 中身 .exe
    目的 ネットバンキングウイルス感染

    【英語メール】
    添付ファイル .zip ⇒ 中身 .js
    目的 ランサムウェア感染

    [ Firefly ]

    2016/7/2(土) 午後 8:54

    返信する
  • 顔アイコン

    ここ数日、自分のアドレスから自分あてにdocmのファイルを送られていて、気になったので調べてみたら辿り着きました。
    開かないで良かったです。削除しておきます。

    [ yaz*y*zi*16 ]

    2016/7/8(金) 午前 7:55

    返信する
  • 顔アイコン

    迷惑メールがドバドバ着弾してるのでご注意を〜
    7月6日らへんから

    ○ 本文無し
    ○ 添付ファイル (拡張子 .docm)
    [10〜16桁のランダム英数字].docm

    [ Firefly ]

    2016/7/8(金) 午後 9:54

    返信する
  • 顔アイコン

    ここ数日(6/28から)、Xperiaに1日おきに
    届くようになりました。

    ○本文なし
    ○添付はファイルは、*.zipと*.dcomのいずれかです。

    開いたらどうなるんでしょうね。
    何度もくるので、いつか間違って開いてしまいそうです。

    [ nya**ko_gor**oro ]

    2016/7/10(日) 午後 4:56

    返信する
  • 顔アイコン

    先週はランサムウェアlocky/zeptoの感染を企む”自分のアドレス”からWord文書付きドバドバと

    Yahoo!の関連ワード → docm ウイルス/docm メール/拡張子 docm/docm ファイル/docm 開く/docm 迷惑メール/メール 添付 docm

    Macやスマホは攻撃対象ではなし

    [ Firefly ]

    2016/7/11(月) 午後 9:35

    返信する
  • 顔アイコン

    Today's faxという題で、本文なしの.DOCMの添付ファイルが届きました。
    情報ありがとうございました。
    外国からの様です。
    Marianなんて差出人、知りません! 削除

    [ 朋丘 ]

    2016/8/23(火) 午前 8:41

    返信する
  • 顔アイコン

    拡張子.docmファイルを添付したメールが手元にも複数着弾してます

    逆に、以前は見られた拡張子.docファイルを添付したメールはあまり見かけなくなった感じ

    いずれにしても狙いはWindowsにランサムウェアLocky(.zepto)を感染させる目的

    [ Firefly ]

    2016/8/25(木) 午後 9:00

    返信する

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(1)

本文はここまでですこのページの先頭へ
みんなの更新記事