8/31(水)
- カテゴリ:日記
- 2016/08/31 21:14:55
夏休みの宿題の追い込み?
アサガオは記憶ではプランター1に赤1輪とプランター2に青1輪
咲いていないように見えて、葉の陰で咲いていたのだけれど、撮影しわすれた。
夜にはしぼんでいる。プランター2の青は見つけたけれど、プランター1の赤が見分けられずじまい。
そして明日咲きそうなつぼみが多数。
今日メールでばらまかていたランサムウェアは
件名がFW: [Scan] 2016-08-13 12:27:43
といった転送メールかのような内容で、
添付ファイルが2016-08-30 684 318 25.zip
といったもの。数字部分は変わる。
そしてポイントはFromアドレスが、Toアドレスのドメイン名(@の後ろ)を偽装していること。
受信者のメールアドレスが、user@abcdefg.co.jp だったら、
Fromは、Dustin <Dustin1305@abcdefg.co.jp> と同じ会社から来たように見せる。
ユーザ名の方はランダムな外国人名を使っている。
(ここが鈴木とか佐藤といったよくある日本人名になってくると、騙される人も増えるだろう。)
添付ファイルのzipの中身はhtaで、これはテキストのプログラム。
htaの説明
https://msdn.microsoft.com/ja-jp/library/ms536496(VS.85).aspx
htaはランサムウェアではjsやwsfといったスクリプトの同様の用途で使われる
ちょっと調べた感じでは、このhtaの動作は、
・エンコードされたdllファイルをダウンロードしてくる。エンコードされているので、企業内のフィルタやサンドボックスでもウイルスチェックされない。
・PC上でdllファイルをデコードして実行。ウイルス対策ソフトはhtaもdllも新しすぎて検知できない。
・dllファイルは直接実行するのではなく、rundllなりで動かされるのだけれど、動いてしまうと、PC内のファイルが暗号化されて使えなくなる。
・実験したhtaでは最終的にdllの挙動でファイル名がよくわからない長い名前と拡張子が.zeptoになるランサムウェアだった。