treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

Document2とかDocument+数字の迷惑メールにご用心を

今日はウィルス添付の迷惑メールについてご報告します。

私にも私の周囲でもいっぱい来て(受信して)ます。いま流行りのようですね。
いっぱいパターンがありますのでここでご報告している傾向は動作の一端でしかありません。すべての情報を網羅しているわけではありませんが、参考になる情報もあると思いますのでご自身の環境と状況に置き換えてご覧ください。

メールの概要

到着したメールは件名が「Document 2」とあって、添付ファイルにファイル名:「Document2.zip」が添付されて送られてきます。
このメールはDocument2に限らずDocument23とかDocument5とか数字の部分はランダムのようでいくつもパターンがあるようです。

f:id:treedown:20160325150704p:plain

この添付ファイルが、マルウェア本体、いわゆるコンピュータウィルスです。解凍後に生成される.jsファイルを起動してしまうとアウトです。
悪いことを企んでいるサイトからもれなくコンピュータウィルスをダウンロードし始めて感染したPCが危機にさらされます。
具体的な危機はというと、PC内のファイルを勝手に暗号化してしまう、という動作をするようです。暗号化されたファイルはそのままでは使えなくなってしまいます。しかも脅迫文がコンピュータ画面に表示されるとか。
恐ろしい…。
とかく開かずに完全なる削除(※)をお勧めします。
(※)開かずに完全なる削除:Outlookであれば一覧から対象メールを右クリック、メニューからShiftキーを押しながら削除を選択すると完全削除となるはずです。

対処方法は他のサイトでたくさん紹介されていますので、もし遭遇されているようでしたら対処方法は他もご覧になってご自身の環境を防衛されることをお勧めします。

Document2が送られてくるパターン

私のパターンをご報告しておきます。
まず、from=自分のアドレス、to=自分のアドレス、という具合に自分で自分にメールを送ったかのような電子メールを受信します。で、添付ファイルに「Document2」です。
これだと、普段からDocumentという名前でzipファイルを自分自身に送信する習慣がある人だとどれが自分でどれがウィルスか見分けつかないことになってしまいますね。くれぐれも自分自身に(ファイル送信目的で)メールを送る際にはオリジナルのファイル名を付けて送信された方がいいですよ。
あと、他者(取引先やパートナー企業など)へ添付ファイルを送信する際にもDocumentという圧縮ファイル名はお止めになったほうがいいでしょうね。これも受信者側が見分けがつかないことが予想されます。

次のパターン、翌日受信したのは通常の見ず知らずの外国アドレスから送信されてくるいつもの迷惑メールで添付ファイルだけがDocument+[数字]というパターンでした。
件名は「Payment Details - [000000]」という件名で届きました。
※000000の部分は数字6桁がランダムで入っています。

しかもそのうちの1通は、メール本文の冒頭に
「If this email is not spam, click here to submit the signatures to FortiGuard - AntiSpam Service. 」
とメッセージが挿入されていたりして。どこかの経路でFortiGateかFortinetのメールフィルタ検知を通過してきたようです。FortiGuardってあるからFortiGateなぞを設置してるユーザの方はうっかり間違えそうになりますよね。

ウィルス検出自体は大体の対策ソフトウェアで可能になっているようです。
私の縁のあるソフトでは、AvastならOther:Malware-gen [Trj]ですしAviraならHEUR/Suspar.Genと検出するそうです。

メールヘッダを見てみた

ヘッダー情報で気になる記述がありました。
如何にちょっと抜粋して掲載します。
※注※IPや名前は一部改変してあります。
----------------------------------------------
Received: from v2-mx.in.server.net (v2-mx.in.server.net [192.168.XX.XX])
    by v2-mx.in.server.net (Postfix) with ESMTP id F363346E80A4
    for <hoge@hogehoge.jp>; Tue, 22 Mar 2016 22:08:26 +0900 (JST)
Received: from Multan-PC (unknown [XXX.XXX.XXX.XXX])
    by mx.in.server.net (Postfix) with ESMTP id 4DA65BC0393
    for <hoge@hogehoge.jp>; Tue, 22 Mar 2016 22:08:26 +0900 (JST)
Content-Type: multipart/mixed;
    boundary="Apple-Mail-C7C4B31A-7CD3-CEAC-D1B8-BCB5B2113F89"
Content-Transfer-Encoding: 7bit
From: <hoge@hogehoge.jp>
MIME-Version: 1.0 (1.0)
Date: Tue, 22 Mar 2016 18:08:24 +0500
Subject: Document 2
Message-ID: <Apple-Mail-C7C4B31A-7CD3-CEAC-D1B8-BCB5B2113F89@hogehoge.jp>
To: <hoge@hogehoge.jp>
X-Mailer: iPhone Mail (13B143)
X-Loop: hoge@hogehoge.jp
Return-Path: hoge@hogehoge.jp
X-MS-Exchange-Organization-Network-Message-Id: 8cf5f2ed-6c5c-4462-6ac2-08d352531002
----------------------------------------------
一番最初の発信源に「Received: from Multan-PC (unknown [XXX.XXX.XXX.XXX])」とありまして、どうやらこの「Multan-PC」というところから発信されてきたようです。調べると中東というか西アジアというか、ともかく外国です。
これで、発信源が自分の管理域内である社内ではない、と判断しちょっと安心はしたのですが、

それ以上はどうにもならんですね。

くれぐれもお気を付けください。