McAfee Labsは、偽のウイルス対策ソフトの実行ファイルをダウンロードするようユーザーを誘導する、新たなスパムメールキャンペーンを発見しました。送られているメッセージは以下の通りです。
<strong>Subject: A very warm invitation to you
(心のこもった招待状)
本文:
Hello,
(こんにちは。)
Hope your week has been wonderfull well. I would like to extend a very warm invitation to you to the Verbum Dei Missionary Festival this Sunday, September 19.
(すばらしい1週間を過ごしていることと思います。さて、今週日曜日、9月19日のVerbum Dei Missionary Festivalにあなたをご招待します。)
With a lot of support and collaboration from groups of people we work with in the Bay Area, an international spread of food will be served at the festival. Besides the spread, cultural and folkloric performances, music, games for children, and activities will be part of the day’s programme.
(フェスティバルでは、湾岸地域で一緒に作業しているグループの多くの支援と協力により、世界中の料理が振る舞われます。料理以外にも、さまざまな文化や民族のパフォーマンス、音楽、子供向けのゲーム、アクティビティーが予定されています。)
This once a year event brings all of our friends and family from around the Bay Area, an expression of the internationality of our community, mission and work here. At the same time, the festival is also a fund-raising initiative open to all, which is important for us in the ongoing Verbum Dei mission here in the Bay Area.
(この年1回のイベントには、湾岸地域から私たちのすべての友人と家族が集まり、湾岸地域のコミュニティー、布教団、活動の国際性を反映しています。同時に、湾岸地域で現在行われているVerbum Dei布教活動に従事している私たちにとって重要なことですが、このフェスティバルは誰でも参加できる募金集めのためのイベントです。)
I really look forward to your coming to be able to catch up more. More details are in the attached invitation, I hope the directions woul be helpful in navigating the way to the St. Thomas More parish.
(是非フェスティバルにご参加いただき、いろいろな話をお聞きいただければと思います。詳細は添付の招待状をご覧ください。St. Thomas More教区への道順がお役に立てばと思います。)
With joy and peace to you,
(あなたに喜びと平和が訪れますように。)
Collin Vaughan
添付ファイル: #####vacation.html
(これが最も一般的なファイル名ですが、#####.xls.html、#####wachovia summons.html、#####randolph-revisedplans.htmlなどの名前が使われていることもあります)
添付ファイルはすべて同じで、numerouno-india.comドメインにあるWebページにリダイレクトする、コード化されたJavaScriptが格納されています。
アクセス先のページからscaner-g.cz.ccドメインのページにリダイレクトされます。また、ページには、arestyute.comドメインのページをターゲットにしたiframeが組み込まれています。リダイレクト先のドメインでは、よくある偽のウイルス対策スキャンのアニメーション画像が表示され、実行ファイルをダウンロードするよう指示されます。
偽のスキャン画像
ダウンロードを促すメッセージ
実行ファイルで使われるアイコン
iframeにより、Java Development Toolkitのエクスプロイト(CVE-2010-0886)をはじめ、CVE-2007-5659、CVE-2008-2992、CVE-2010-0188など、Adobe FlashやPDFの脆弱性をターゲットにしたエクスプロイトを含む、さまざまなエクスプロイトに誘導されます。
これらのエクスプロイトのペイロードはパスワードを盗み出すトロイの木馬で、ランダムな名前のフォルダとファイルを使って%AppData%フォルダに自身をコピーし、起動時にファイルをロードするレジストリRUNキーを作成します。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “{608F1285-57B7-C631-DE51-8A99508CC7A9}” = “C:\Documents and Settings\Administrator\Application Data\Ezudi\oqek.exe”
パスワードを盗むこのトロイの木馬は、iexplorer.exeプロセスに自身を挿入し、多くの大手金融機関をターゲットにします。また、ohmaebahsh.ru、eexiziedai.ruの2つのドメインにアクセスします。 - この偽のウイルス対策の実行ファイルは、SensitivityがVery Low以上で動作しているGlobal Threat IntelligenceのFile Reputationで検出されました。
- 最初のドメイン(numerouno-india.com)は、TrustedSource、SiteAdvisorで赤にレーティングされています。
- 2番目のドメイン(arestyute.comおよびscaner-g.cz.cc)は、TrustedSource、SiteAdvisorで赤にレーティングされています。
- 3番目のドメイン(ohmaebahsh.ruおよびeexiziedai.ru)は、数週間前からTrustedSource、SiteAdvisorで赤にレーティングされています。
- 最新のウイルス定義ファイルでは、以下の名前で検出されます。
- PWS-Zbot
- FakeAlert-PE
- JS/Downloader.gen
- JS/FakeAlert-AB.dldr
extra.datリクエストページを利用することにより、最新のシグネチャをダウンロードできます。これらは、ベータ版のウイルス定義ファイルで提供されています。
関連記事
- [2011/02/25] 様々なスパムメール:「有名サイト模倣」スパム
- [2011/02/18] 様々なスパムメール:「ロシア語」スパム
- [2011/02/04] 様々なスパム:「キャッシュバック」スパム
- [2011/01/28] 様々なスパムメール:「ドラッグ」スパム
- [2011/01/21] 様々なスパムメール:「偽の履歴書」スパム
- [2011/01/14] 様々なスパムメール:「取り込み詐欺」スパム
- [2011/01/07] 様々なスパムメール:「アスキーアート」スパム
- [2010/12/17] Facebook、大半のスパムは友人から
- [2009/12/01] H1N1 インフルエンザ・ワクチンの案内と称してスパム
関連情報
※本ページの内容はMcAfee Blogの抄訳です。
原文:“A very warm invitation to you,” Courtesy of a Mass-Spam Run
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)