11/23(祝)
- カテゴリ:日記
- 2017/11/26 17:33:14
勤労感謝の日。
そして11/24(金)は有休にしたので4連休。
ところが、マルウェアメールが届いて、その対応。
まずは、VJAギフトカード
http://malware-mail.hatenablog.com/entry/2017/11/23/151607
これはメール記述が拙くてThunderbirdでは添付ファイルが見られないけれども、
意図は添付ファイル方式のマルウェアメール。docファイル
(後日、類似文面で別方式でも届くのであった)
そして、複合機(HP,Lexmark,Epson)を騙るもの
http://malware-mail.hatenablog.com/entry/2017/11/23/175640
これも添付ファイル方式のマルウェアメール。7zファイルの中にvbsファイル
そして強敵が、NHKオンでマントを騙るもの
http://malware-mail.hatenablog.com/entry/2017/11/23/180408
これは、昨今の金融機関を名乗るメールと同じリンク方式のマルウェア
・添付ファイルはない
・テキスト風HTMLメールで本物のNHKオンデマンドのURLもありつつ、
「マイコンテンツでご確認ください」「こちら」といった文字列に
ハイパーリンクが張ってある。テキスト形式で表示しないとURLに
気付きにくい。
・金融機関を名乗るメールは長大なURLで怪しかったのに、こちらはNHKオンデマンドではない短いURL
・URL自体をvirustotalやaguseで調べても危険と表示されない。
・aguseの結果は403の権限なし画面
・ところが実際にアクセスすると、403の画面は表示されつつも。
注文内容をチェック.zipをダウンロードしようとする。
そのzipファイルの中身は、料金明細をチェック.DOC.js
拡張子を表示しない設定でDOCと思って開くとjsスクリプトが実行されるしくみ。
その先は解析していないが、virustotalで11/23時点でjsスクリプトを危険と
判定するウィルス対策ソフトは少なかった。
jsスクリプトがさらに通信してexeファイルを持ち込むものもあるし、
jsスクリプト自体にexeファイルが組み込まれているものもある。
祝日だけあって、各情報サイトやNHKサイトにもまだ載っていなかった。
そこで、マルウェア日記を書いたURLをNHKオンデマンドの問い合わせのフォームに、回答不要として情報提供しておく。
