最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆有名ブランドに似せた悪質な貸金サイト:ニコスクレジット、オリコジャパン(2008/08/25) | メイン | ◆自宅サーバーで音楽ファイルを無断配信、米ワシントン州在住の会社員を逮捕(2008/08/26) »

2008/08/26

◆圧縮形式の添付ファイルで侵入するウイルスメールに注意、PW保護型も流通(2008/08/26)

 言葉巧みにリンクをクリックさせ、攻撃サイトへと誘導するWeb攻撃型のウイルスメールに混じり、添付ファイルにウイルス本体を添えたオーソドックスなウイルスメールが編集部にも舞い込んでいる。いずれもメールフィルタを回避すべく、メールでもよく使われるZIP形式の圧縮ファイルに実行形式のウイルス本体を格納。ウイルス対策ソフトが中身を解析できないように、パスワード保護したものも流通している。

■偽FedExからのインボイス

 「住所が間違っていて荷物が届けられない。添付したインボイスを印刷するように」と言って添付ファイルを開かせようとするのは、米航空貨物会社「FedEx」をかたるウイルスメール。「Fedex Tracking N_○○」(○○は10桁の数字)という件名で届いたメールには、添付ファイル「WD6128922.zip」が添えられている。
 ZIP形式の圧縮ファイルの中から出てくるのは、実行形式のファイル「WD6128922.exe」。マカフィーは「Generic Downloader.z」、シマンテックは「Backdoor.Paproxy」、トレンドマイクロは「TROJ_RENOS.AIG」だと警告する。この実行ファイルは、アイコンがMicrosoft Wordのドキュメントファイルのアイコンに偽装されているため、うっかりしていると言われるがままに開いてしまうかも知れない。
 編集部に届く偽FedExのスパムは、その後ぷっつりと途絶えたが、セキュリティベンダー各社によると、これまでにも同様の手口を使った偽UPSや偽DHLのスパムが確認されており、引き続き警戒が必要だ。
・波及する宅配便会社からの通知ねつ造スパムメール、今度はFedExを詐称(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/1674
・偽FedExメールの圧縮された添付ファイルにご注意(G DATA)
http://gdata.co.jp/press/archives/2008/08/fedex.htm

■パスワード保護されたZIPファイルで写真?

 ニュースやゴシップで興味をひき、ビデオや写真だと偽りクリックさせようとするのは、ウイルスメールの常套手段。先週大量に流れた「グルジアでジャーナリストが撃たれた」というメールには「Georgia.zip」が添付。今週は「ジョージ・ブッシュとパリス・ヒルトンがマリファナで捕まった」「お宅の赤ん坊をハイジャックしたから5万ドル払え」といった文面で「photo.zip」を添付したスパムが飛び交っている。

<編集部で確認しているウイルスメールの件名>
 Journalists shot in Georgia
 George Bush caught naked with Paris Hilton! Sinsatsionnye photos!
 We have hijacked your baby

 添付されたZIPファイルはいずれもパスワード保護されており、メールの本文に記載されたパスワードで解凍すると、「Georgia.zip」からは「joined.exe」が、「photo.zip」からは「photo.jpg.exe」という、画像ファイルのアイコンに偽装した実行形式のファイルが出てくる。実行形式のファイルは、マカフィーが「MultiDropper-JD」、シマンテックが「Downloader」、トレンドマイクロが「TROJ_DLOADER.UAF」というウイルス名で検出するが、パスワード保護されたZIPファイルの状態では、いずれの製品も中身を特定することができない。
 すでに時間が経過している「Georgia.zip」に関しては、たとえばマカフィーなら「MultiDropper-JD!zip」だと言い当てるものの、ファイル名を変えて再圧縮すると、とたんに検出できなくなるというレベル。パスワード保護された圧縮ファイルは、ウイルス対策ソフトも中身が解析できず、敏感な対策ソフトでも、「パスワード保護された圧縮ファイル」「実行ファイル入り圧縮ファイル」「二重拡張子」などの警告を出すにとどまる。
・Russia-Georgia Conflict News Used to Hide Malicious Code in Spam[英文](Symantec)
https://forums.symantec.com/syment/blog/article?blog.id=spam&message.id=111#M111
・Malicious Russian-Georgian Spam Uses .ZIP Password[英文](TrendLabs Malware Blog)
http://blog.trendmicro.com/malicious-russian-georgian-spam-uses-zip-password/
(2008/08/26 ネットセキュリティニュース)

投稿情報: 09:56 |

|