ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ

書庫全体表示

送信者は自分自身のメアド!? 迷惑メール正体とdocm/wsf/jsウイルス拡張子に注意
 
{{{ 2016年7月 更新 }}}
 
本文らしい文章はないものの、送信者が 自分自身のメールアドレス に偽装されてる英語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
件名 Document[1〜2ケタの数字] / Document [1ケタの数字]
差出人 <自分自身のメールアドレス>

本文 (なし)
件名 Image[数字].pdf
差出人 <自分自身のメールアドレス>
Sent from my Sony Xperia™ smartphone
件名 doc[数字] / DOC[数字] / SCAN[数字] / FILE[数字] / document[数字] / Document[数字] / Emailing: Image ([数字]).gif / Emailing: Image ([数字]).jpg / Emailing: Image ([数字]).pdf / Emailing: Image ([数字]).png / Emailing: Picture ([数字]).gif / Emailing: Picture ([数字]).pdf / Emailing: Picture ([数字]).png / Attached: IMG([数字]) / Attached: Receipt([数字]) / Attached: Photo([数字]) / Copy: IMG([数字]) / Copy: Photo([数字]) / Copy: Picture([数字]) / Emailing: IMG([数字]) / Emailing: Photo([数字]) / File: Photo([数字]) / File: Picture([数字]) / Copy: INV([数字])
本文 (なし)
添付ファイル [件名と同じ].zip
件名 Document (1).pdf / CCE29032016うんたら〜系 ( CCE29032016_00000 CCE29032016_00008 CCE29032016_00025 CCE29032016_00040 CCE29032016_00046 CCE29032016_00061 CCE29032016_00063 CCE29032016_00070 CCE29032016_00074 CCE29032016_00076 CCE29032016_00077 CCE29032016_00081 CCE29032016_00085 …)
差出人 <自分自身のメールアドレス>
本文 (なし)
件名 Photos [数字]
差出人 <自分自身のメールアドレス>

Envoyé de mon Galaxy S6 edge+ Orange
件名 Attached Image
差出人 <自分自身のメールアドレス>
The information in this email is confidential and may be privileged.
If you are not the intended recipient, please destroy this message and notify the sender immediately.
自分宛てにファイルを送信したかのように見えて目に留まらざるをえず、でも身に覚えがないのに 気になって添付ファイルを確認したい心理的な状況 になり 『怪しいメールを開くな』 を実現不能にする巧妙な手口です。  <無視できない

圧縮ファイルの中身はスクリプトファイル

件名とほぼ同じ名前が付けられた添付ファイルはZIP形式やRAR形式の圧縮アーカイブとなってて、中身が何なのか表面的に分からないのも興味をそそります。
 
手元で圧縮アーカイブを解凍・展開してみると、次のファイル形式が登場するので実際のイメージ画像をのせます。
  1. JavaScriptファイル / JScript Scriptファイル(拡張子 .js .jse)
     
  2. Windows Scriptファイル(拡張子 .wsf)
ちなみに、このファイル形式はあくまでWindowsパソコンだけが動作対応環境であり、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんでは動作せず影響いっさいないから大丈夫♪
 
自分が自分宛てに文書を送信!?
 
イメージ 1
Document1.zip Document2.zip Document7.zip など
 
 
イメージ 2
ダブルクリック厳禁! 決して文書ではない
 
【メールの添付ファイル】
Document[1〜2ケタの数字].zip / Document [1ケタの数字].zip
 ↓ ユーザーが解凍・展開する
[英数字].js
Document[数字].js
 
【メールの添付ファイル】
[件名と同じ].zip / [件名と同じ].rar
 ↓ ユーザーが解凍・展開する 
CCE29032016_[数字].js
[英数字].js
 
自分が自分宛てに画像や写真を送信!?
 
イメージ 3
Imageうんたら〜.zip
 
 
イメージ 4
ダブルクリック厳禁! 画像ファイルではありません
 
イメージ 7
ダブルクリック厳禁! 決してJPEG写真ではない
 
【メールの添付ファイル】
Image[数字].zip
 ↓ ユーザーが手動で解凍・展開する 
[英数字].js
 
【メールの添付ファイル】
20160404_[数字]_resized.zip
 ↓ ユーザーが解凍・展開する
20160402_[数字]_resized.js
 
イメージ 10
ダブルクリック厳禁! 画像や写真ではありません
 
【メールの添付ファイル】
IMG([数字]).zip / Photo([数字]).zip / Picture([数字]).zip
 ↓ ユーザーが解凍・展開する
Picture[数字].wsf
IMG[数字].wsf

 
これらはいずれも 不正なスクリプトウイルス という分類です。
 
ファイル名だけ見て誤った判断をしそうだけど、決して 画像・写真や文書ではないファイルの形式(拡張子) です。

ダブルクリックでファイル暗号化ウイルスに感染!

このjsファイルやwsfファイルを Windowsパソコン 上でポチポチっとダブルクリックして開いたところ ランサムウェア(身代金型ウイルス) の1つ

Locky(ロッキー)

が外部ネットワークからシレッとダウンロードされ感染してしまいました。 <大事な文書ファイルや画像ファイルがすべて破壊され身代金払えという展開になる

 イメージ 5
不正なJSファイルを実際にダブルクリックして開く
スクリプト wscript.exe の下にナゾの実行ファイルがー


この実行ファイル(上の画像で緑の)をオンラインスキャンサイト VirusTotal に投げてみると、セキュリティソフトの定義データでの対応状況は…。 <常に新鮮な亜種検体が投入されてる

www.virustotal.com/ja/file/ddb80a24da8bec08eeac77e0a7ea13e48805a302290555d4bcb5d86d9080b13c/analysis/1458217419/



[追記...]

添付ファイルが ワード文書拡張子 .doc または .docm)のパターンも確認しました。
件名 Document(1) / Document / [英数字] / File: [英数字] / Scan: [英数字] / RE [英数字] / Emailing [英数字] / FW: [英数字] / MSG: [英数字] / File: [英数字] / Documents from work / Attached Image
差出人 <自分自身のメールアドレス>
本文 (なし)
添付ファイル Document(1).doc / Document 2.docm / [ランダム英数字].docm / Untitled(1).docm / [数字]_[数字].docm
イメージ 6

イメージ 8

イメージ 9

これらは マクロウイルス と呼ばれるブツで、Windows向け Microsoft Word で開いた後にマクロの動作を許可すると Lockyウイルス に感染します。

Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はやはり影響なし。

スクリプトウイルスとマクロウイルスの対策

巷では 『不審なファイルを開くな』 と言われるけど、一方で人間は ヒューマエラー をやらかすことは過去の様々な事故で分かってます。 <心意気で何とかするのは無謀

加えて、メールに添付されてるのが実行ファイル(拡張子 .exe /.scr)ではない スクリプトファイルOfficeファイル なので、セキュリティソフトが脅威判定せずスリ抜ける確率も上がります。

そこで、”怪しい” と見抜けないユーザーさんが一定数出現するのは当然と考えて、それを前提に ↓ランサムウェアの侵入を100%防ぐ無料ウイルス対策 があるのでぜひ!
関連するブログ記事

この記事に

  • 顔アイコン

    > kiy*t*kiyok* さん
    メール削除で問題ないです

    > yasu さん
    Windowsユーザーに踏ませるのが狙いです
    iPad = iPhone なので対象外〜

    [ Firefly ]

    2016/3/25(金) 午後 8:10

    返信する
  • > Fireflyさん
    ありがとうございました!

    [ kiy*t*kiyok* ]

    2016/3/25(金) 午後 8:24

    返信する
  • 顔アイコン

    > Fireflyさん
    安心しました。
    ありがとうございました。

    [ yasu ]

    2016/3/25(金) 午後 9:19

    返信する
  • 顔アイコン

    > Fireflyさん
    今ところ何も異常はなったです。
    ありがとうございました。

    [ あさり ]

    2016/3/28(月) 午後 0:02

    返信する
  • 顔アイコン

    [4月7日 追記...]のメール、私も本日届いておりました…。
    まぁマクロで怪しげで基本Word使わないので削除して無視だなと思いましたが、同様のものが過去にないかな?と検索かけたらまさかの当日。
    これはたくさん撒いてそうですね。 削除

    [ tes ]

    2016/4/7(木) 午前 11:11

    返信する
  • 顔アイコン

    いやー見事に引っかかってしまいました
    お遊び半分で開けたらAviraが反応してびっくりしましたね。
    調べてみたらJS/Dldr,Locky,kxcというウイルスなんですがLockyというファイルが一つも表示されてないので、これって問題ないんですかね

    [ kou*ar*us*zu*i050* ]

    2016/5/24(火) 午後 10:38

    返信する
  • 顔アイコン

    Windows狙って身代金ウイルスLockyの感染を企む迷惑メールが平日に引き続き受信して止まらんねぇ〜

    パソコンの損害よりも前に、まずは「人間の脳ミソ」の方をダマす手口だから超注意!

    【パターン1】
    ZIPなど圧縮ファイル ⇒ 展開すると中身は.jsファイル ⇒ ダブルクリックで感染アウト!

    【パターン2】
    ワード文書 .doc .docm ⇒ ダブルクリックで開く ⇒ コンテンツの有効化ボタンを押すと感染アウト!

    [ Firefly ]

    2016/5/26(木) 午後 8:11

    返信する
  • 顔アイコン

    こんばんは。
    先ほど自分のアドレスから
    自分のスマホ(Xperia)に
    Document3843171.zip
    という添付ファイル付きのメールが届き、
    いつの間に?と思い、
    添付ファイルを開いてしまいました。
    ファイルの中は文字化け?
    のようになっていて、
    何が書いてあるのかはさっぱり…でした。
    開いてしまった時点でまずいでしょうか?
    不安です。 削除

    [ あんな ]

    2016/6/28(火) 午前 2:43

    返信する
  • 顔アイコン

    >自分のスマホ(Xperia)に
    スマホや携帯電話は攻撃対象ではないです
    Windows上のみ

    ZIP圧縮ファイルを展開する必要があるけど、スマホだとそこから先に進めない〜

    [ Firefly ]

    2016/6/28(火) 午後 8:12

    返信する
  • 顔アイコン

    本文無しメールが6月27、28日にドバッと撒かれてますかい?

    メールの件名と添付ZIPファイル名が一致してます
    > document数字
    > doc数字
    > FILE数字

    自分宛てにファイル送ったかのよう差出人が偽装されてるので、無視できず確認したくなるユーザーさん続出?

    ウイルスメールきっかけで情報漏洩してしまったJTBの二の舞いにならないよ注意!

    [ Firefly ]

    2016/6/28(火) 午後 8:17

    返信する
  • 顔アイコン

    私のところにはDocumentではなくSCANで届きました。
    スマホ(Xperia)で踏んでしまいましたが、ウイルスソフトのスキャンにかけたら一応大丈夫そうでした…

    [ st**_ra**bo**16 ]

    2016/6/28(火) 午後 11:04

    返信する
  • 顔アイコン

    ZIP.Document.SCAN・・全て送られてきました(^_^;) 私のスマホ
    開きたい好奇心に負けないで良かった。

    [ umeko ]

    2016/6/29(水) 午前 8:43

    返信する
  • 顔アイコン

    日本語のもいっぱい来ますよ。
    タイトル例
    「宅急便お届けのお知らせ」
    「和解の件」
    「返済の件」
    ほとんどが、プログラムをjavascript内部で生成しevalで実行させることで、チェックを難しくさせてます。
    とりあえず、圧縮ファイルの添付を開く時は十分に気を付けた方が良いと思います。

    [ ggg*av*ty ]

    2016/7/2(土) 午前 10:32

    返信する
  • 顔アイコン

    感染の引き金となるファイルの種類(拡張子)に注目する対策で海外からの猛攻勢に対抗を〜

    【日本語メール】
    添付ファイル .zip ⇒ 中身 .exe
    目的 ネットバンキングウイルス感染

    【英語メール】
    添付ファイル .zip ⇒ 中身 .js
    目的 ランサムウェア感染

    [ Firefly ]

    2016/7/2(土) 午後 8:54

    返信する
  • 顔アイコン

    ここ数日、自分のアドレスから自分あてにdocmのファイルを送られていて、気になったので調べてみたら辿り着きました。
    開かないで良かったです。削除しておきます。

    [ yaz*y*zi*16 ]

    2016/7/8(金) 午前 7:55

    返信する
  • 顔アイコン

    迷惑メールがドバドバ着弾してるのでご注意を〜
    7月6日らへんから

    ○ 本文無し
    ○ 添付ファイル (拡張子 .docm)
    [10〜16桁のランダム英数字].docm

    [ Firefly ]

    2016/7/8(金) 午後 9:54

    返信する
  • 顔アイコン

    ここ数日(6/28から)、Xperiaに1日おきに
    届くようになりました。

    ○本文なし
    ○添付はファイルは、*.zipと*.dcomのいずれかです。

    開いたらどうなるんでしょうね。
    何度もくるので、いつか間違って開いてしまいそうです。

    [ nya**ko_gor**oro ]

    2016/7/10(日) 午後 4:56

    返信する
  • 顔アイコン

    先週はランサムウェアlocky/zeptoの感染を企む”自分のアドレス”からWord文書付きドバドバと

    Yahoo!の関連ワード → docm ウイルス/docm メール/拡張子 docm/docm ファイル/docm 開く/docm 迷惑メール/メール 添付 docm

    Macやスマホは攻撃対象ではなし

    [ Firefly ]

    2016/7/11(月) 午後 9:35

    返信する
  • 顔アイコン

    Today's faxという題で、本文なしの.DOCMの添付ファイルが届きました。
    情報ありがとうございました。
    外国からの様です。
    Marianなんて差出人、知りません! 削除

    [ 朋丘 ]

    2016/8/23(火) 午前 8:41

    返信する
  • 顔アイコン

    拡張子.docmファイルを添付したメールが手元にも複数着弾してます

    逆に、以前は見られた拡張子.docファイルを添付したメールはあまり見かけなくなった感じ

    いずれにしても狙いはWindowsにランサムウェアLocky(.zepto)を感染させる目的

    [ Firefly ]

    2016/8/25(木) 午後 9:00

    返信する

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(1)

本文はここまでですこのページの先頭へ
みんなの更新記事