毎日休みなく送られてくる薬局キャンペーンの迷惑メールほどではないが、6月に始まったウイルス感染を狙った迷惑メールも、相変わらず断続的に続いている。
●ウイルスメールも依然継続、偽セキュリティソフトが日本語対応に
最近の手口は、ニュースやオンラインショップなどのサービスを装い、添付したHTMLファイルを開かせようとするものが多い。添付ファイルは、難読化されたJavaScriptで書かれており、これが改ざんサイトに設置したリダイレクト用のファイルを開く。画面には「PLEASE WAITING 4 SECOND...」と表示され、この間にバックグラウンドで攻撃サイトにアクセスし、Adobe ReaderやJREの脆弱性を突いてウイルスに感染させようとする攻撃を行うのだ。
その後は、何事もなかったかのように薬や時計のインチキ販売サイトが現れるのだが、今月からは出し物が変わり、偽セキュリティソフトの実演販売サイトに強制連行されるようになった。ウイルス感染の警告とともに、ウイルススキナーの画面が突然現れて、スキャンしているふりを始めるのだ。インチキスキャンが終わると、もれなくウイルスが検出され、その後はどこをクリックしても「antivirus.exe」をダウンロード実行させようとする。8080系の攻撃では、攻撃が成功すると偽のセキュリティソフトがインストールされるのだが、念には念を入れろということなのだろうか。
この「antivirus.exe」は、ユーザー自身が実行しない限り、自動的にダウンロード/実行されることはない。ダウンロードや実行の確認を求める本物の警告ダイアログが表示されるので、キャンセルボタンを押し、ブラウザを閉じればよい。
ウイルスメールに添付されるHTMLファイルの中身は、下記のトレンドマイクロのマンスリーレポートで見ることができる。このレポートにもあるように、8080系の攻撃でインストールされる「SecurityTool」という名の偽セキュリティソフトも日本語に対応している。実演販売サイトのインチキスキャナーは、今のところ英語表示だが、これもそのうち日本語に対応するのかも知れない。
(2010/08/31 ネットセキュリティニュース)
■インターネット脅威マンスリーレポート - 2010年7月度(トレンドマイクロ)
http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20100804103606.html