トレンドマイクロは3日、スパムメールの添付ファイルとして送られてくるパスワードで保護(暗号化)されたZIPファイルを通じてトロイの木馬が拡散していると警告した。被害報告は、日本、ヨーロッパ諸国、フランス、スペイン、カナダ、アメリカなど複数の国から寄せられているという。
トレンドマイクロによるとトロイの木馬は、スパムメールに添付された「doc.zip」というZIP形式のパスワードつき圧縮ファイルから侵入する。利用者がメール本文中に記載されているパスワードを入力すると「doc.exe」というウイルスファイルが開く。ファイルを実行してしまうとトロイの木馬型スパイウェアやルートキットを作成し実行。実行後は不正プログラムは自身を削除し、作成されたスパイウェアやルートキットが存在を隠しながら不正活動を続ける。
当編集部に届いた同様のスパムメールの件名は「Important document for XX」、メール本文には「Hello XX, the document is attached. Password:123.」といった文章が記載されていた。上記のXXの部分にはメールアドレスの@の左側が表示されている。また、最近では以下のようなメールも当編集部で確認している。
件名:Bill for XXXX. Pay urgently!
本文:Hello XXXX, the bill is attached. The password is 123. Don't forget to pay this time.
添付ファイル:bill.zip
件名:Bill for XXXX
本文:Hello XXXX, the new bill is attached. Password is 123. Please pay in time.
添付ファイル:bill8.zip
件名:Important document for XXXX
本文:Hello XXXX, the document is attached. Password is 123.
添付ファイル:bill.zip
攻撃者はウイルス対策ソフトの検出を回避するためにパスワードつきZIPファイルの形式をとっていると考えられる。30社以上のウイルス対策ソフトを使って怪しいファイルを調べてくれるサービス「VirusTotal」によると、7日午前9時の時点で、同じ「bill8」でも実行ファイルである「bill8.exe」の場合は29社が検出するが、圧縮ファイルの「bill8.zip」の場合は7社しか検出しなかった。
ウイルス対策ソフトがスパムメールとして検出できない場合でも、送り主の分からない怪しいメールは開かずにすぐに削除するなどの対応が必要だ。
(2008/10/09 インターネットセキュリティニュース)
■パスワード保護(暗号化)されたZIPファイル経由で拡散するTROJ_PAKESファミリ(トレンドマイクロセキュリティブログ)
http://blog.trendmicro.co.jp/archives/1893#more-1893