2007年07月11日

ウイルスを広めるスパム

Trend Micro」さんの「Trend Micro Security Blog」で7月10日付けのこんな記事を見つけました。

冒頭部を引用します。
「You’ve received a …」で始まる件名のスパムメールが日本でも出回り始めているようです。これは海外では6月末から確認され始めていたものであり、内容的にはさまざまなバリエーションがありますが、どれもWebグリーティングカードなどを装ってURLにアクセスさせようとするものです。

以下詳細は上記のリンクからご覧になって下さい。
翻って、自分のメールボックスを見たら、あるはあるは…
(1)
送信者: "(6文字略).hk" (ryg@iol.cz)
件名 : You've received a postcard from a family member!
日時 : 2007年6月22日 11:39

Good day.

Your family member has sent you an ecard from (6文字略).hk.

Send free ecards from jcstark.hk with your choice of colors, words and music.

Your ecard will be available with us for the next 30 days. If you wish to keep
the ecard longer, you may save it on your computer or take a print.

To view your ecard, choose from any of the following options:

--------
OPTION 1
--------

Click on the following Internet address or
copy & paste it into your browser's address box.

ttp://(6文字略).hk/?(16進数27桁)

--------
OPTION 2
--------

Copy & paste the ecard number in the "View Your Card" box at
ttp://(6文字略)..hk/

Your ecard number is
(16進数27桁)

Best wishes,
Postmaster,
(6文字略).hk

*If you would like to send someone an ecard, you can do so at
ttp://(6文字略)..hk/
「Trend Micro」の記事のとおりのスパムが、これを皮切りに18通も来ていました。
この例では(6文字)はドメイン名ですが、IPアドレスのものもあります。確かに添付ファイルはついていません。

文中のURLにアクセスすると、「不正なプログラムをダウンロードされる」との事ですから、お気をつけ下さい。

(2007年7月16日追記)
このエントリを上げた11日ころは件名の最後が"family member"や"Partner"が多かったのですが最近は
(2)
送信者: "bluemountain.com" (hsir@ca.usda.gov)
件名 : You've received an ecard from a School-mate!
日時 : 2007年7月14日 1:12

Hi. School-mate has sent you an ecard.
See your card as often as you wish during the next 15 days.

SEEING YOUR CARD

If your email software creates links to Web pages, click on your
card's direct www address below while you are connected to the Internet:

ttp://69.***.***.***/?(16進数27桁)

Or copy and paste it into your browser's "Location" box (where Internet
addresses go).

We hope you enjoy your awesome card.

Wishing you the best,
Mailer-Daemon,
bluemountain.com
のように"School-mate"、"Class-mate"、"School friend"と学校関係が多く飛来します。
その他"neighbour"となると怪しいです。更に"worshipper"って変なのも…
なおこの"bluemountain.com"は本当のeCard等の会社のドメイン名ですが、メアドは米国農務省で全くのデタラメです。

(2008年9月2日追記)
 エントリから一年以上経って、これと似たスパムがやってきました。
(3)
送信者: "greetingcard.org" (dfmtphclhsuhclhsu@ms26.hinet.net)
件名 : You've received a greeting ecard
日時 : 2008年8月31日 14:03

Good day.
You have received an eCard

To pick up your eCard, choose from any of the following options:
Click on the following link (or copy & paste it into your web browser):

ttp://whichhappiness.com

Your card will be aviailable for pick-up beginning for the next 30 days.
Please be sure to view your eCard before the days are up!

We hope you enjoy you eCard.

Thank You!

ttp://www.greetingcard.org

 送信者が"greetingcard.org"を名乗ったり、件名が"You've received a greeting ecard"といった特徴が昨年のものと同じです。

 但し、このスパムの誘導先は薬物販売サイト(英語)で、結果的に開くこと自体に危険性はありませんでした。
 しかし、今度来たらウィルスに導かれるかもしれません。安全性の保障はしかねますので、充分ご注意願います。

(2008年9月3日追記)
 言ったそばから、ヤバそうなのが飛んできました。
(4)
送信者: "greetingcard.org" (friends@friends.gr)
件名 : You've received a greeting ecard
日時 : 2008年9月3日 0:29

Good day.
You have received an eCard

To pick up your eCard, choose from any of the following options:
Click on the following link (or copy & paste it into your web browser):

ttp://mule****.com/e-card.exe

Your card will be aviailable for pick-up beginning for the next 30 days.
Please be sure to view your eCard before the days are up!

We hope you enjoy you eCard.

Thank You!

ttp://www.greetingcard.org

 これはモロ.exe(実行ファイル)に直リンクされています。危ない危ない。
 こんなURLを絶対クリックなさらないで下さい。

 なお上記(3)、(4)の文末に見える"greetingcard.org"はまともなサイトで"Email Scam Alert!"と題して警告文を載せています。ただし2008年9月3日現在、ここに載っているのは昨年の(1)、(2)に対する警告と思われます。

 因みに"Scam"とは「詐欺」の意味で、Phishing Scam(=フィッシング詐欺)のように使われる語だそうで、"Spam"と似て非なるものです。

(2008年9月10日追記)
 こんなスパムも来ています。
(5)
送信者: "123greetings.com" (tellis@cetnet.net)
件名 : You have received an eCard
日時 : 2008年9月10日 6:06

Good day.
You have received an eCard

To pick up your eCard, choose from any of the following options:
Click on the following link (or copy & paste it into your web browser):

ttp://impromesse.**/e-card.e*e

Your card will be aviailable for pick-up beginning for the next 30 days.
Please be sure to view your eCard before the days are up!

We hope you enjoy you eCard.

Thank You!

ttp://www.123greetings.com

 最後にある"123greetings.com"のサービスのように見せかけていますが、".exe"ファイルにリンクされています。
 このファイル、PCでアクセスしようとするとウィルスバスターでブロックされましたが、ためしにPHSでダウンロードだけしてみると、550KBほどありました。
posted by 末期ぃ at 15:13 | 北京 | 対策と注意点 | Comment(15) | TrackBack(0)
この記事へのコメント
この程度の英語なら高校生だったら読めます。
余程の間抜けで無い限りダウンロードはしないかと。

関係ないですが、イチローがMVP!
日本人初の快挙だ!!!
嬉しいので対書き込みしました!
Posted by けんじ at 2007年07月11日 17:44
そうなんです。落ち着いて読めば怪しいぞ?と判るのですが、メールって第一印象に囚われてしまいがちです。
件名と1行目だけ見て「大意は掴んだ」(←実は全部読むのが面倒)と驕るのが落とし穴。「Send free ecards…」からは見えても最早読まない人が多いとおもいますよ。
ワンクリスパムも「登録」されるまで6回くらいの手順があって思いとどまる機会はいくつもある筈が、「俺は大丈夫」と生半可な思い込みでどんどん突っ走ってしまうのでしょう。特に私含め中年は自信過剰ですから(笑)
意味が判らなきゃ最初から開かずに捨てればいいんですよね。欲をかいちゃいけません。
Posted by 末期ぃ at 2007年07月11日 20:07
さて、イチロー選手のランニングホームランには恐れ入りました。
日本のオールスターでは4回出てるので大リーグで初めてとは知りませんでした。実力に運も味方しないと起きないことですから凄いですね。
スパムが「ワールドシリーズご招待」だったら、クリックしちゃうかも(笑)
Posted by 末期ぃ at 2007年07月11日 20:27
今日も飛来しました。 本文は同じですが誘導先が変ってます。実行ファイルの拡張子が付いてますので危険な事には変わりないでしょう。ご注意下さい。発信元はアメリカ・テキサス州らしいですが本当のことは判りませんね。

Date: Thu, 04 Sep 2008 00:10:57 +0000
From: "greetingcard.org" <ellio*@adm.njit.edu>
To: "dear friend" <こちらのメアド>
Subject: You've received a greeting ecard

Good day.
You have received an eCard
(前のと同文につき省略)

ttp://summer-romance.de/e-card.***
Posted by 辛抱男 at 2008年09月04日 13:41
いつもありがとうございます。
ちなみに辛抱男さんの「前の」投稿は
http://letterfromkanaiyuko.seesaa.net/article/103011920.html#comment
ここに昨日いただいたものです。

今後も気をつけないといけませんね。



Posted by 末期ぃ at 2008年09月04日 14:31
また来ましたよ。メアドに有名銀行を騙ってますね。こういうのは絶対にクリックしないよう。

Date: Thu, 04 Sep 2008 04:59:11 +0000
From: "greetingcard.org" <emer*@firstnationalbank.com>
To: "dear friend" <こちらのメアド>
Subject: You have touched my heart

Missing you

ttp://summer-romance.de/e-card.***

_____
本文はこれだけです。 勝手に寂しがってろ(^^)。


Posted by 辛抱男 at 2008年09月04日 16:11
jcfidixjlt <jcfidixjlt:blythin.com>
件名:[spam]Jugs
Huge boobs. Watch this movie!
(注)McAfee VirusScanで添付ファイルが削除されました。
****************** McAfee VirusScan************************
******* 以下でアラートが生成されました: 2008年9月4日 17:25:43 *********
*********************************************************************

McAfee VirusScan により E メールで潜在的な脅威が検出されました。
送信元"jcfidixjlt" <jcfidixjlt@blythin.com>.

不審な各部分に次の対応が実行されました:

添付ファイル 名前のない添付ファイル は 1 つまたは複数のトロイの木馬 Generic Downloader.ab に感染しています。
この添付ファイルは隔離されました。


この不審なアクティビティを報告することをお勧めします。
報告先 "jcfidixjlt" <jcfidixjlt:blythin.com>.
Posted by ブースカ at 2008年09月04日 18:02
辛抱男さん、またありがとうございました。
何がMissing youですよね。

そういえば今朝FIRSTBANKを名乗るフィッシング(と見られる)スパムが参りました。
既に誘導先見られなかったのですが、昨年7月新星銀行を名乗るスパムがあったのと似た雰囲気でした。
http://letterfromkanaiyuko.seesaa.net/article/47591256.html
Posted by 末期ぃ at 2008年09月04日 19:09
ブースカさん、ご無沙汰しておりました。
ご紹介いただいたのは、どんなスパムだったのでしょうか。宜しければ解説をお願いします。

なお、同じメールアドレスからのスパムを4月21日に受けておりました。
 送信者: "Juan Spaulding" (jcfidixjlt@blythin.com)
 件名 : Re: Hi Greek Love Gods
 日時 : 2008年4月21日 18:40

 Interested? Want be one of them?
 Never or today!
 ttp://msnhtp.homyganboy.info/?(7桁の数字)
Posted by 末期ぃ at 2008年09月04日 19:18
jcfidixjlt <jcfidixjlt:blythin.com>
件名:[spam]Jugs
Huge boobs. Watch this movie!
これだけです。添付ファイルは、マカフィーで削除されましたので、解析できません。デスクトップはあきらめ今は、ノートパソコンで書いています。
Posted by ブースカ at 2008年09月04日 21:01
そういうことでしたか。大変失礼しました。
今同じような文面のスパムを探してみたら、今日16時過ぎに1通あり、やはりウィルスバスターが添付ファイルを自動削除しておりました。
アンチウィルスソフト様様です。

デスクトップは立ち直れずですか…お気の毒に。
Posted by 末期ぃ at 2008年09月04日 21:49
前出と同じですが実行ファイルへの誘導先が変ってますので一報しておきます。setup.ver1とか言うのが曲者でしょう。

From: "giancarlo knute" <vc*@dubuque.net>
To: "my friend" <こちらのメアド>
Subject: You have received an Greeting eCard
Date: Sun, 07 Sep 2008 12:18:42 +0000

Good day.
本文は前のと同じなので省略します。

ttp://www.campagnavia**.it/setup.ver1_3003.0_.e**


Posted by 辛抱男 at 2008年09月08日 10:49
なるほど、もっともらしいファイル名をつけて来ましたね。
なお、ちょっとネットの知識がある方なら".exe"が見えていたらクリックしないでしょうが、
HTMLメールでは誘導URLが隠れていてわからない場合がありますから、受信文をテキスト表示に設定しておくという対策もしておくべきでしょう。
Posted by 末期ぃ at 2008年09月08日 11:13
ICS Monitoring Teamを名乗る輩からのスパムですが、添付ファイル( user-EA499***-activit***.zip やuser-EA499***-activit***.exe)にトロイの木馬ウィルスが仕込まれています。
exeのみならずzipファイルにまでウィルスを仕込んであるのでご注意下さい。

Date: Sat, 13 Sep 2008 02:20:50 +0000
From: "ICS Monitoring Team" <dmcdani**@rpwb.com>
To: "client" <こちらのメアド>
Subject: Your internet access is going to get suspended

本文は「アナタは著作権違法のダウンロードを繰り返しているので、インターネットへのアクセスをとめられますよ。 その記録は添付ファイルにありますよ」と言うものです。 騙されないように!!!


Posted by 辛抱男 at 2008年09月13日 16:23
いつもありがとうございます。
「UPS(国際貨物航空会社)を騙るスパム」
http://letterfromkanaiyuko.seesaa.net/article/106382236.html
でも述べたのですが、zipファイルを添付したスパムがやってくるようになりましたね。
文面はこの他にも音楽の楽曲の試聴や任天堂DSのゲームキャラがどうのなど、いろいろあるようです。
皆様も怪しい添付ファイルを開かないように願います。
Posted by 末期ぃ at 2008年09月13日 20:29
コメントを書く
お名前: [必須入力]

メールアドレス: [必須入力]※公開はしません

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック