2008年11月03日

今日も来襲zipファイル付きスパム

 9月から度々申し上げています通り(例えばこのエントリ)、.zipファイル(圧縮ファイル)が添付された英文メールが毎日飛んできます。
 これらはウィルスですので、開かないようお願いします。
 こまめに名を変えて飛来しますので受信したものを記録して注意喚起としておきます。
(1)
送信者: "Beryl Aldridge" (televisora@lq.com.ar)
件名 : Your Keys for Recovery
日時 : 2008年11月3日 10:59

Dear Valued Customer
Redsnakecomeon (←注:受信者のメールアドレス)

We are sending you the keys for your account recovery. Please, save them and keep in a reliable place.

Thanks for using our service.
Beryl Aldridge

 このスパムには"Keys_11.02.08.zip"という25.7KBのファイルが添付されております。
 「リカバリーのキー」ですと言ってますが、何のサービスに不具合があってリカバリーしなきゃならんのか、もう少し具体的に書かないと真実味がないですね。
 余り相手にされないと思いますけど、一応。

(2)
送信者: "Corina Medrano" (gmikb@blyo.com)
件名 : Keys of activation
日時 : 2008年11月3日 11:01

Hello,

Your account was temporarily suspended on demand. Please, activate your account using the keys which are in the attached Word file.

If you have any questions you can address to one of our offices in your city.

 (1)の僅か2分後にこれがやってきました。
 このスパムには"Activation_key.zip"という24.1KBの添付ファイルがありました。

 (1)よりなんとなく丁寧で、開いてみようか、という気になります。

 この.zipファイルを解凍すると(皆様は真似をなさらないように)、文面にあったWordファイル(.doc)のような名前のファイルが現われます。
 ↓こういうやつ
 "Activation_key.doc         .exe"
 .docファイルかと思うとスペースをたくさん入れた名前の.exeファイル(実行ファイル)というインチキです。

 これをダブルクリックしてしまうと、たちまちあなたのパソコンがウィルスで汚染されてしまいます。

 皆様どうぞお気をつけ下さい!
 身に覚えの無い(特に英文)メールは開かず削除しましょう。

(2008年11月4日追記)
(3)
送信者: "Ross Blair" (templ@quik.com)
件名 : The Keys to Recover
日時 : 2008年11月4日 12:30

Dear Client, ********* (←注:私のでないメールアドレス)

There are the keys to recover your personal account. In order to use them later, please, preserve them in a sure place.

Good-bye for now, Ross Blair

 これには"The_Keys.zip"という25バイトの添付ファイルがありました。

(2008年11月10日追記)
 下記、辛抱男さんのコメントにあるとおり、9月17日のこのエントリの(2)で述べたスパムがまた飛び交っているようです。
(4)
送信者: "Monitoring Team" (dhz@shlyxg.com)
件名 : Your internet access is going to get suspended
日時 : 2008年11月9日 8:10

Your internet access is going to get suspended

The Internet Service Provider Consorcium was made to protect the rights of software authors, artists.
We conduct regular wiretapping on our networks, to monitor criminal acts.

We are aware of your illegal activities on the internet wich were originating from

You can check the report of your activities in the past 6 month that we have attached. We strongly advise you to stop your activities regarding the illegal downloading of copyrighted material of your internet access will be suspended.

Sincerely
ICS Monitoring Team

 このスパムには前と同じく"user-EA49993X-activities.zip"という25バイトの添付ファイルが付いています。
 ご注意下さい!

(5)
(2008年11月11日14時追記)
またちょっと違う文面のスパムが現われました。
送信者: "UMS Ltd" (tell@cum.qc.ca)
件名 : Lease contract
日時 : 2008年11月11日 13:11

Dear Valued Customer
We have already made ready the contract and we also joined some points you’d asked to add to it.
The lawyers change some points on the last page. Read the contract, please, and if there are no objections from your part we can pay for the first batch on Friday.
You can find the contract in the attached ZIP Archive. (Password is: contract)

We also ready to send it by fax if you need
Respectfully

 "UMS"とはUniversal Messaging Systemのことなのか、よく解りませんが、何某かとの契約の内容が.zipファイルにあるので読んでくれ、とのこと。もう少し具体的な内容が乗っていないと、受信者が開いてくれない気がしますが…
 このスパムには"Contract1.zip"という32.8KBの添付ファイルが付いていました

 これとほぼ同じで、書き出しが"Good Morning"となっているスパムも5分後に届きました。このスパムの添付ファイルは"Contract.zip"(33.0KB)でした。

(2008年11月11日19時追記)
 下記コメント欄に、辛抱男さんがコメントくださっているオバマ新大統領ネタのスパムが飛んできました。
(6)
送信者: "alic cho" (christos.pagonisn@cancer.org.uk)
件名 : Barak Obama sex scandal
日時 : 2008年11月11日 17:54

Barak Obama p0rn video, file attached, watch him

 このスパムには"zeland-01.zip"という度々登場する25バイト.zipファイルが付いておりました。

(2008年11月12日追記)
以前にも情報がありましたが航空券購入に関してのスパムがやってきました。
(7)
送信者: "Southwest Airlines" (tehrlwmqa@smra.com)
件名 : Your Online Flight Ticket N 36698
日時 : 2008年11月12日 11:00

Dear Gentlemen,
Thank you for using our new service "Buy airplane ticket Online" on our website.
Your account has been created:

Your login: *********@yahoo.co.jp (←注:私のでないヤフーアドレス)
Your password: PASSV6W2

Your credit card has been charged for $934.86.
We would like to remind you that whenever you order tickets on our website you get a discount of 10%!
Attached to this message is the purchase Invoice and the airplane ticket.
To use your ticket, simply print it on a color printed, and you are set to take off for the journey!

Kind regards,
Southwest Airlines

"Kind regards"で文を結ぶ国はどこなんでしょうか。

 10%引きで航空券を買えますなどど言って添付ファイル"E-ticket.zip"(22.8KB)"を開かせようとしていますが、覚えの無いファイルは開かないで下さい!
 以前の類似例ではウィルスが仕込まれていました。触らないで下さい。

(2008年11月13日追記)
 9月11日にお伝えした「UPS(国際貨物航空会社)を騙るスパム」がまた届いています。
(8)
送信者: "United Postal Service" (tei@arquired.es)
件名 : UPS Tracking Number 13392068985
日時 : 2008年11月13日 12:41

Unfortunately we were not able to deliver postal package you sent on Oct the 28 in time
because the recipient’s address is not correct.
Please print out the invoice copy attached and collect the package at our office

Your UPS

 このスパムには"letter-UPS-N46765.zip"という26.5KBのzipファイルが付いておりました。

 このスパムに就いては、下記アナウンスもご覧下さい。
 UPSを騙ったウィルス・メールについて−UPS日本サイト

(2008年11月14日追記)
 UPSスパムの別文が届いています。
(9)
送信者: "United Postal Services Nell" (wgsukanvc@brantainc.com)
件名 : Tracking Number 99642858750
日時 : 2008年11月14日 15:18


Unfortunaly we couldn’t carry you the postal parcel sent on 28, October at the right time
as there is an incorrect recipient’s address.

To take your package back you should print the copy of invoice that is in the added file

Nell Prater
Manager UPS

 このスパムにも"UPS_letterN314617.zip"というファイルが添付されていますが、容量は25バイトなので(8)とは別物でないかと考えます。
posted by 末期ぃ at 11:49 | 沖縄 ☀ | 対策と注意点 | Comment(29) | TrackBack(0)
この記事へのコメント
ZIP付きスパムと違いますが、決して、ダウンロード、インストールしない様に。

Ruben Meyer <AndreprimroseRichards:engadget.com>
件名:[SPAM][spam]video poker slot machines
Today is your lucky day!

Join the bestt ca●ino on the web.

ttp://9pcu8xyu592bg7.spaces.live.com/

Download and install the ca●ino in order to claim your USD 1800 bonus.

All countries and All US States are accepted.!!

Good luck!
(機械翻訳)
ウェブ上でbesttカ●ノに加わってください。
ttp://9pcu8xyu592bg7.spaces.live.com/
あなたのUSD 1800ボーナスを勝ちとるために、カ●ノをダウンロードして、インストールしてください。
すべての国とすべての米州は、accepted.です!!
幸運を祈ります!
Posted by ブースカ at 2008年11月04日 22:03
ありがとうございます。英単語にもNGワードが設定されていると、初めて知りました。
このスパムも毎日のように届いています。
Posted by 末期ぃ at 2008年11月05日 00:19
Date: Thu, 06 Nov 2008 18:50:29 +0000
From: "Monitoring Team" <belind*@work-at-home-plan.com>
User-Agent: Thunderbird 2.0.0.12 (Windows/20080213)
To: "client" <こちらのメアド>
Subject: Your internet access is going to get suspended
(メールの本文は既に紹介されていますので省略します)

感染ウイルス名称: Trojan Horse
感染ファイル名: user-EA49945X-activities.zip/user-EA49945X-activities.exe

この手のウィルスzip付きはしつこく来ますね。要注意です。



Posted by 辛抱男 at 2008年11月07日 08:58
この手のuser-EA49945X-activities.zipは、マカフィーインターネットセキュリティだとスルーしますね。zipで隔離するのとスルーする違いが良く分かりません。
圧縮形式だとスルーすると言っていましたが。
Posted by ブースカ at 2008年11月08日 22:43
お二人様、いつもありがとうございます。
先ほど追記を入れましたが、私のところにも同じスパムがやってきます。
たった25バイトの添付ファイルですが、開いてウィルスに感染すると大変です。
Posted by 末期ぃ at 2008年11月10日 18:44
早くもオバマをネタにしたらしいzipウィルススパムが飛来しました。このビデオzipファイルを開かないように。 zipファイル名と解凍したexeファイル名が違うのは初のような?

メール送信者: kid3*@mmode.com
感染ウイルス名称: Trojan Horse
感染ファイル名: zeland-01.zip/obama_video.exe

Date: Mon, 10 Nov 2008 12:15:56 +0000
From: "lester sidharta" <kid3*@mmode.com>
User-Agent: Thunderbird 2.0.0.12 (Windows/20080213)
To: "man" <こちらのメアド>
Subject: Barak Obama sex scandal

本文省略。


Posted by 辛抱男 at 2008年11月11日 09:27
辛抱男さん、いつもありがとうございます。
それとはちょっと違うようですが、オバマ氏当選便乗スパムについてはこんな注意が出ています。
http://www.itmedia.co.jp/news/articles/0811/06/news026.html

また、全く別物でzip付きでもないのですが、今朝こんなスパムが届きました。
 (ここから)
送信者:(私の公式アドレス)
件名:Michelle Obama nude
日時:2008年11月11日 6:55

About this mailing:
You are receiving this e-mail because you subscribed to MSN Featured Offers. Microsoft respects your privacy. If you do not wish to receive this MSN Featured Offers e-mail, please click the "Unsubscribe" link below. This will not unsubscribe you from e-mail communications from third-party advertisers that may appear in MSN Feature Offers. This shall not constitute an offer by MSN. MSN shall not be responsible or liable for the advertisers' content nor any of the goods or service advertised. Prices and item availability subject to change without notice.

?2008 Microsoft | Unsubscribe | More Newsletters | Privacy

Microsoft Corporation, One Microsoft Way, Redmond, WA 98052
 (ここまで)
 これはHTMLメールで、"Canadian Pharmacy"系薬物販売スパムでした。
 同じ本文のスパムはたくさん飛来しており、今探したら"Bush killed Michelle Obama"という件名のものもありました。
 このスパマーどれだけオバマ夫人が嫌いなんだか…
Posted by 末期ぃ at 2008年11月11日 13:18
Northwest Airlinesを騙った押し売りメール
Northwest Airlines <ellwotdb:borregaard.com>→BCCで飛来
件名:[SPAM][spam]Your Online Flight Ticket N 08673
Dear Gentlemen,
Thank you for using our new service "Buy flight ticket Online" on our website.
Your account has been created:

Your login: kabata@mxj.mesh.ne.jp
Your password: PASS7S93

Your credit card has been charged for $968.75.
We would like to remind you that whenever you order tickets on our website you get a discount of 10%!
Attached to this message is the purchase Invoice and the airplane ticket.
To use your ticket, simply print it on a color printed, and you are set to take off for the journey!

Kind regards,
Northwest Airlines
(機械翻訳)
親愛なる紳士、
我々の新しいサービスを利用するために、あなたに感謝してください、我々のウェブサイトで「フライトの切符をオンラインで買ってください」。
あなたの口座はつくられました:
あなたのログイン:kabata@mxj.mesh.ne.jp
は、あなたのパスワードです:PASS7S93
あなたのクレジットカードは、968.75ドルの代金を請求されました。
あなたが我々のウェブサイトでチケットを注文するときはいつでも、あなたが10%の割引を得るとあなたに思い出させたいです!
請求書と飛行機が札を付ける購入は、このメッセージに付けられます。
あなたのチケットを使うために、単にそれを印刷される色に印刷してください、そして、あなたは旅行へ立ち去るようにされます!
心からのよろしく、ノースウエスト航空
****************** McAfee VirusScan************************
******* 以下でアラートが生成されました: 2008年11月12日 11:36:50 *********
*********************************************************************

McAfee VirusScan により E メールで潜在的な脅威が検出されました。
送信元Northwest Airlines <ellwotdb:borregaard.com>.

不審な各部分に次の対応が実行されました:

添付ファイル E-ticket.zip は 1 つまたは複数のトロイの木馬 Generic Malware.a!zip に感染しています。
この添付ファイルは隔離されました。
Posted by ブースカ at 2008年11月12日 15:20
本文に追記した(7)と会社違いですね(本文はSouthwest Airlines)。
添付ファイルも同じ名前ですね。
Posted by 末期ぃ at 2008年11月12日 17:28
最近このような1行英文スパムがかなり多く飛来します。多くは「バイアグラ売り」に誘導しますが、このような
ロイター発「爆弾ニュース」のもあります。zip付きではないですが、このサイトに行くと、ロイターのニュースの文章が出ていて、映像を見るには最新のフラッシュプレーヤ(多分偽)をインストールするようにと出ます。で、ダウンロード対象のファイル名がnews.exe,  contact.exe, main.exe, save.exe, run.exe, print.exeとかだそうで、これらはウィルスファイルだそうです。お気をつけて下さい。


Date: Sun, 29 Mar 2009 19:20:24 +0200
From: "Muriel" <itsb_data_center@jp.kpmg.com>
Subject: Are you Okay?

How do you feel? ttp://aka.wapcitynews.com/news.php
Posted by 辛抱男 at 2009年03月30日 09:51
追記です。
本物のフラシュプレーヤのインストールファイルは、"install_flash_player.exe"ですから、上に挙げたnew.exeやsave.exeなどではないですから偽物との区別はつきます。 念のためです。
zip付きウィルスが収まった(?)かに見えましたが、今度はこういう手ですか。 やれやれ!!!
Posted by 辛抱男 at 2009年03月30日 11:24
今日も題名や文章は違いますが「偽の爆発ニュース」スパムが飛来。Norton Tool-barはこのサイトは安全でないという警告を出すようになりました。
このサイトからは動画を見ようとして、フラッシュプレーヤ(最新版??を)ダウンロードしないように!!
ウィルス実行ファイルですよ。

Date: Tue, 31 Mar 2009 15:11:02 +0500
From: "Leslie" <lucero.cabrera@vsnl.net>
Subject: Is it really happened near you?

I hope you are not in the city now ttp://aa.goodnewsreview.com/print.php
Posted by 辛抱男 at 2009年03月31日 21:16
辛抱男さん、メールでも情報を頂きありがとうございます。
よく調べて頭を整理しなきゃと思って手がつけられないでいます。
まとめなくては…
なお、最後のスパムは今月20日に飛来しておりました。
Posted by 末期ぃ at 2009年03月31日 23:55
くどいようですが、またも飛来した「偽爆弾ニュース」ですがウィルススパムなので報告します。

Date: Thu, 2 Apr 2009 19:37:09 -0500
From: "Mamie" <apache73@bg.no>
Subject: Haven't you been there at that time?

Oh God, did it really happen? ttp://uuute.photoblogsite.com/

本文はこれだけですが、今日のはFFで開くと次のような警告(Googleが出してます)が出ました。(Nortonの警告逃れはやったのか、出なくなってます)。スパイウエア系ウィルスとの事です。動画を見ようと偽最新フラッシュプレーヤをDL/インストールしないように!!!

Reported Attack Site!

This web site at uuute.photoblogsite.com has been reported as an attack site and has been blocked based on your security preferences.

Attack sites try to install programs that steal private information, use your computer to attack others, or damage your system.

Some attack sites intentionally distribute harmful software, but many are compromised without the knowledge or permission of their owners.
Posted by 辛抱男 at 2009年04月03日 11:01
重ねての情報提供、誠にありがとうございます。
エントリを立てたいと思ったのですが、私にこのスパムが届いたのが3月16日と20日の計2通で、気づいたときには既に誘導先がアクセスできませんでした。
調べて実証したいんですけど…
Posted by 末期ぃ at 2009年04月04日 00:57
「偽爆発ニュース」スパムは来なくなったのですが、次はこれです。これもsmsを読むための新しい
プログラムをダウンロード出来るといってますが、これはウィルス(スパイウエア)ですから騙されないように!!!
ご丁寧に発信メールはavastによるウィルスチェックはOKと入ってますが、本文はOKでもこのサイトからダウンロードするプログラムがウイルスです。

Return-Path: <MAILER-DAEMON@***>
(途中略)
From: "Fidelia Whitley" <kcdskmg*@maltanet.net>
To: こちらのメアド
Subject: Do you want to know if your partner is unfaithful?
Date: Wed, 15 Apr 2009 14:44:03 +0300

(本文)
You can download new program for reading sms ttp://freeservesms.com/
X-Antivirus: avast! (VPS 090411-0, 11.04.2009), Outbound message
X-Antivirus-Status: Clean
(本文ここまで)
Posted by 辛抱男 at 2009年04月16日 20:07
ありがとうございます。
たまにこれぽっいのが来るのですが、
誘導先を見ようとするとウィルスバスターに止められます。なかなか。
Posted by 末期ぃ at 2009年04月16日 23:21
昨日書き込みしました

ttp://freeservesms.com/

をaguseで調べますと今の所スクリーンショットで見られます。怪しげなソフト(ウイルスです)をDLする誘導先、多分入っただけでウイルスを仕込まれる?、も見られます。


Posted by 辛抱男 at 2009年04月17日 14:28
このスパムの事がITメディアニュースに出てました。

http://pc.nikkeibp.co.jp/article/news/20090417/1014403/
Posted by 辛抱男 at 2009年04月19日 21:02
17日にもコメント頂いていたのですね。気づかず失礼しました。
このところ何故か知り合い(ネット上でないリアルな)からの相談事が相次いで、
ブログ更新やサイトのパトロールに手が回らないでおります。
そういえばSMSナントカってスパムが来ていました。くわばらくわばら。
Posted by 末期ぃ at 2009年04月19日 23:42
誘導先が変りましたが、sms spy からウィルスをDLさせる悪質スパムです。 そもそも他人の携帯メールを盗み見られるソフトなんかできるのかな??? (+_+)。

Date: Wed, 22 Apr 2009 14:26:44 +0100
From: "Dennis Dodd" <sankei@usda.gov>
Subject: Do you trust her?

Are you interested in reading other people's sms? ttp://be.ipersmstext.com
Posted by 辛抱男 at 2009年04月22日 23:52
いつもありがとうございます。
辛抱男さんの情報に反応が薄くて申し訳ありません。
該当するスパムが殆ど飛んでこないからなんです。なぜだろ?
携帯メールを盗み見なんてできるわけないですねえ。できても携帯メールのシステムからいじらないと駄目でしょうから、画面を覗き見した方が早いと思います。
Posted by 末期ぃ at 2009年04月24日 13:06
これは、「バイアグラ売り」スパムでウィルスではない思いますが、似たような1行スパムです。
「左利き」もかなり多いと思うのですが、(^^)。
こういう外国スパムもあまり飛来しませんでしょうか?
こちらには例の「偽ロイター爆弾ニュース(ウィルススパム)」の頃から「バイアグラ売り」の1行スパムが来るようになりました。

From: "Sal Copeland" <mallikab@southampton.ac.uk>
Subject: Desired effect on your male power.
Date: Sat, 25 Apr 2009 22:08:14 +0800

Don't waste your life with your right hand. ttp://oaki.iatihyquy.com/
Posted by 辛抱男 at 2009年04月26日 08:02
バイアグラスパムは、沢山きます。マカフィーインターネットセキュウリティーで隔離されますが、フォルダに残り見るのもばからしいので、削除です。
Posted by ブースカ at 2009年04月26日 10:36
>辛抱男さん

暗喩を駆使した精力増強または「伸長」スパムは多く飛来しています。
誘導先がグロテスクなんで紹介しませんけど…

>ブースカさん

zipファイルじゃないんですけど、最近HTMLソースとpngファイルが添付されたスパムが多く来ます。
画像を見るとバイアグラ等のなんですけど、一応マルウェア等が乗っている恐れがあるので画像を開けない様にしています。
Posted by 末期ぃ at 2009年04月26日 23:14
スパマーども、豚インフルエンザ蔓延に便乗してPCにウィルスを仕込むなどいい加減にしろ!!!
(まだこちらには来てませんが)

http://www.itmedia.co.jp/enterprise/articles/0904/30/news018.html

■「豚インフル」と「スパム」でくぐると沢山出てきますよ (+_+)。



Posted by 辛抱男 at 2009年04月30日 09:23
該当するスパムは受けていないのですが、
やはりというか、やっぱり発生していたんですね。

一昨日メキシコシティーにいる友人にメールしてみたら、
『市内はそんなにパニックにもなっていませんが、みんなマスクして外出しています。』
とのことでした。
Posted by 末期ぃ at 2009年04月30日 17:45
日本語のこれも悪質ですね。 マルウエア、スパイウエアもコンピューターウィルスですよね。

http://www.itmedia.co.jp/enterprise/articles/0904/30/news052.html

Posted by 辛抱男 at 2009年04月30日 19:50
日本語スパムについては夕刊に載っていて、親が教えてくれました。
送信者に「go.jp」を名乗っていても安心できないよと教えましたが…

こういうものを撒く輩は一度豚インフルエンザにかかって苦しめ!
Posted by 末期ぃ at 2009年05月01日 01:03
コメントを書く
お名前: [必須入力]

メールアドレス: [必須入力]※公開はしません

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック