2008年09月17日

zipファイルつきスパム増加中!

 先日「UPS(国際貨物航空会社)を騙るスパム」でも申し上げましたが、.zip形式の圧縮ファイルが添付されているスパムが増えていますので、ここで重ねて取り上げてみます。
(1)
送信者: "Jami Meade" (teh@hq.kishou.go.jp)
件名 : Credit card account statement (Visa, MC)
日時 : 2008年9月16日 0:43

Dear Valued Customer:
ID: readytokiss5248

As requested, we are sending you this account statement with information on the transactions carried out with your credit card between 1/1/2008 and 8/1/2008.

Please find the account statement with the detailed list of the transactions attached to this message. You can view the document or print it out by simply saving the attached file to disk and opening it for viewing.


Please let us know if we can be of any further assistance.

At your service,
Jami Meade

Manager of Visa / MasterCard
Credit Card Services

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

If you believe this message was sent to you by mistake, please forward the identification number stated on the enclosed document to our customer service department.



 そもそもVISAとMasterCardを一挙に管理するマネージャというのが怪しいのは措いといて、メールの内容は
 『お求めどおり、2008年1月1日から8月1日の間にあなたのクレジットカードによる預金取引明細書をあなたに送ります。
 このメッセージに添付されているステートメントを確認して下さい。
 あなたは、ディスクに添付ファイルを保存して、それを開くことによって、ドキュメントを見るか、またはそれを印刷できます。』
 といったようです。

 で、この添付ファイルを開くとどうなるかは「トレンドマイクロ・セキュリティブログ」の本日付けの記事に詳しく載っています。

 添付ファイルにはUSBメモリウイルスが載っていて、外部メディアをPCに接続した際に自動実行機能を悪用して、PCに感染を広げ、ある悪意あるサイトに接続されるとのことです。

 悪質なのは添付ファイルStatement.zip(私が受け取ったスパムにもこの名の25バイトのファイルが添付されていました)を解凍するとできるファイル名が"Statement.doc          .exe"というもので、wordファイルかと思うと実は85文字の空白を入れた名の実行ファイル(.exe)ということです。

(2)
送信者: "ICS Monitoring Team" (ciporu@hmm.lv)
宛先: "client" (公式アドレス)
件名 : Your internet access is going to get suspended
日時 : 2008年9月16日 2:12

Your internet access is going to get suspended

The Internet Service Provider Consorcium was made to protect the rights of software authors, artists.
We conduct regular wiretapping on our networks, to monitor criminal acts.

We are aware of your illegal activities on the internet wich were originating from

You can check the report of your activities in the past 6 month that we have attached. We strongly advise you to stop your activities regarding the illegal downloading of copyrighted material of your internet access will be suspended.

Sincerely
ICS Monitoring Team

 これは警告じみた内容になっています。
『あなたのインターネットアクセスを中断します。
 インターネットサービスプロバイダConsorciumはソフトウェア作者、芸術家の権利を保護させられました。
 私たちは、犯罪行為をモニターするためにネットワークでの定期的な盗聴を行います。
 過去6カ月あなたの活動のレポートを見ることができます。 私たちは、あなたの不法なダウンロードを止めるように強くアドバイスします。』
 といった内容のようです。

 どこかからいかがわしいファイルを落としている人は数限りなく、こんなカマをかけられたら引っかかる人は多いでしょうね。

 このスパムには"user-EA49993X-activities.zip"というファイルが添付されています。
 このスパムについては目下ネット上に警告のアナウンスが見当たらないのですが、添付ファイルが同じ25バイトだったことから(1)と同様のウィルスではないかと考えています(解凍すればわかるんでしょうが、そこまではありません)。

 ということで、皆様ご注意ください。

 怪しいメールは開かず削除。特に添付ファイルを開くのは絶対避けて下さい!

(2008年10月1日追記)
 (2)のスパムに関連して、続報を立てました

(2008年10月3日追記)
 下記コメント欄に辛抱男さん、ブースカさんから情報を頂いた、「doc.zip」つきスパムについてこのような記事を見つけました。
パスワード保護(暗号化)されたZIPファイル経由で拡散するTROJ_PAKESファミリ(本日付Trend Micro Security Blog)
ウイルスである添付ファイル「doc.zip」は、自身を圧縮形式の1つであるZIP形式にて圧縮するとともに、パスワード保護(暗号化)を施しています。メール本文中には暗号化を解除するパスワードが記載されており、利用者はそのパスワードを入力することでウイルスファイル「doc.exe」を開くことができます。
 (記事の一部引用)

 こちらもお気をつけ下さい。


posted by 末期ぃ at 23:13 | 北京 🌁 | 対策と注意点 | Comment(16) | TrackBack(0)
この記事へのコメント
▼またもや「ビジネスウィーク」誌の公式サイトに「ウイルスのわな」
http://itpro.nikkeibp.co.jp/article/NEWS/20080916/314897/
別サイトですが、なんかこんなものに、やられた様です。
Posted by ブースカ at 2008年09月18日 13:51
USBメモリウィルスは、知っていましたが、まだ感染していないみたいです。ウィルスに感染したときエクスプローラが動かなくデスクトップも表示できない時タスクネナジャーの新しいタスクで参照を選び全てのファイルを見れる状態にして重要なデータが保存できますが、USBメモリウィルスに感染した場合無理ですので注意しましょう。このようにUSBメモリで助けられる場合がありますので、USBメモリウィルスには注意しましょう。末期ぃさんごめんなさい。
Posted by ブースカ at 2008年09月18日 14:03
2回やりました、1回目は、せこいことしてウィルスに感染し、リカバリーcdが壊れたのか、リカバリできず、2回目は、IPODのデータを復元するフリーソフトを検索していたら感染し、タスクマネジャーで重要データが復旧出来ました。IPODは、POD野郎で復元できますが、IPOD自体のデータが失われるとその部分は復元出来ません。
Posted by ブースカ at 2008年09月18日 14:26
リンク先の記事を読んだら、先月航空会社を装ったメールが来てましたね、どうせトロイの木馬を仕込んであると思い削除しましたが、最近は、IPODの復元ソフトをサーチして或るサイトにメールを登録してしまい、メールが来ますがマカフィーで添付ファイルがトロイの木馬が仕込まれているので削除し、レポートに変えます。
Posted by ブースカ at 2008年09月18日 17:09
一昔前の名前のウィルスが来ますね。eCardを見るなら添付ファイルを開けと言うもの。開くと「トロイの木馬」投下らしいです。

感染ウイルス名称: Downloader
感染ファイル名: ecard.zip/ecard.exe

Date: Fri, 19 Sep 2008 02:52:40 +0000
From: "123greetings.com" <abbottmunchedillustration*@accordhr.com>
To: "friend" <こちらのメアド>
Subject: You have received an eCard
Posted by 辛抱男 at 2008年09月19日 14:22
まだ来ています。 ご注意を!

メール送信者: jran*@telos.com
感染ウイルス名称: Trojan.Fakeavalert
感染ファイル名: user-EA49943X-activiti**.zip,
これをunzipすると user-EA49943X-ctiviti**.exe
になり自動的に実行される?

Date: Wed, 24 Sep 2008 15:37:28 +0000
From: "ICS Monitoring Team" <jran*@telos.com>
To: "client" <こちらのメアド>
Subject: Your internet access is going to get suspended

Posted by 辛抱男 at 2008年09月25日 10:26
ここにコメントを返すのを忘れていました。
申し訳ないついでに、まとめレスで失礼します。

>ブースカさん
度重なる災難、お見舞い申し上げます。
いろんなところにウィルスが潜んでいるものですねえ。
私も引っかかったし気をつけなければ。

>辛抱男さん
ecardスパムとICS Monitoring Teamスパム、再び私にも届きました。内容は従前ですので改めて取り上げませんが、しつこい!
Posted by 末期ぃ at 2008年09月25日 11:53
2通目の英文メールが来ました、モニタリングしているからといって分かるのは、せいぜいIPアドレス位でメールアドレスなど分かるはずが無いよ。
Posted by ブースカ at 2008年09月30日 09:39
そのとおりですね。
これだけ世の中にある個人ブログやHPがすべて肖像権・著作権をクリアしているとは言えず、思い当たる節もある方は引っかかるかも。
ご注意ください。
Posted by 末期ぃ at 2008年09月30日 12:14
こんなスパムが初飛来しました。 "doc.zip"が添付されてます。プロバイダのウィルスチェックも最新にしてある筈の受信PCのウィルスチェックも通過してますが、最新種のウィルスの可能性もありますので、開かないのが賢明と思います。

Date: Wed, 01 Oct 2008 17:53:29 +0000
From: "jeno lazarus" <ttiema*@ms42.hinet.net>
MIME-Version: 1.0
To: "49" <こちらのメアド>
Subject: Important document for 49
Content-Type: multipart/mixed;

This is a multi-part message in MIME format.
Content-Type: text/plain;
charset=koi8-r
Content-Transfer-Encoding: 8bit

Hello 49, the document is attached.
Password:1*3

--D2***741A629BAF
Content-Type: application/zip;
name="doc.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="doc.zip"

Posted by 辛抱男 at 2008年10月02日 10:00
Hello 49, the document is attached.
Password:1*3
が辛抱男さんと同じメールが来ていました。
受信者が49になっています。もちろんメールアドレスを49で囲んでいるだけですが。
Posted by ブースカ at 2008年10月02日 19:05
辛抱男さんブースカさん、ありがとうございます。
私のところに同じものは届いていませんが、zipファイルつきスパムはこの他いろんな文面で来るようになりました。
読者の皆様、知らない相手からのスパム(特に添付ファイルは絶対)開かないようにお願いします。
Posted by 末期ぃ at 2008年10月03日 11:40
こういうのが来ましたので、報告します。
video.zipとありますかエロビデオ? ウィルスの可能性ありとおもいますが、何故かウィルスチェックには引っかかりません。

Date: Mon, 06 Oct 2008 14:58:06 +0000
From: "deck mimi" <riecher*@studio-bolschoi.de>
To: "friend" <こちらのメアド>
Subject: Angelina Jolie Free Video

This is a multi-part message in MIME format.

New sex scandal, Angelina Jolie porn watch in attached file

Content-Type: application/zip;
name="video.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="video.zip"

Posted by 辛抱男 at 2008年10月07日 10:40
昨日紹介しましたエロビデオらしき「Angelina Jolie Free Video」がまた飛来しました。矢張りウィルスで今日は検出しました。zipファイルを解凍するとexeファイルになり、実行すると「トロイの木馬」ウィルスを仕込まれます。皆様、ご注意下さい。
ウィルス名: "Infostealer", = 「情報盗み」と言う名前ですよ(>_<)。
この手のスパムの添付zipに仕込まれるウィルスはアンチ・ウィルス定義配布の先を行くか、何か新しい仕掛けがあるか、末期ぃさんの書かれたように知らないところからのzipの添付されたメールはすぐに削除しましょう。

Date: Wed, 08 Oct 2008 04:47:28 +0000
From: "abey haruo" <cog*@pentland.com>
To: "friend" <こちらのメアド>
Subject: Angelina Jolie Free Video

New sex scandal, Angelina Jolie porn watch in attached file
Content-Type: application/zip;
name="video.zip"
Posted by 辛抱男 at 2008年10月08日 22:58
ありがとうございます。
同じものが今日届いていたのでエントリに取り上げました。
http://letterfromkanaiyuko.seesaa.net/article/107803306.html
私のところでもウィルスチェックに引っかかりませんでした。チェックにかかって添付ファイルが削除されるスパムもあるのですが…
Posted by 末期ぃ at 2008年10月08日 23:04
↑ありゃΣ(・ω・ノ)ノ 行き違いになった…

新しい情報および、呼びかけ重ねてお礼申し上げます。
Posted by 末期ぃ at 2008年10月08日 23:15
コメントを書く
お名前: [必須入力]

メールアドレス: [必須入力]※公開はしません

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。