pdfスパムの到来
いつになく,かわったスパムメールが到来。
件名は「refundable」。本文が無く,Notification-pdas.pdfという名前のpdfファイルが添付されています。
User-AgentはThunderbird 1.5.0.12。発信元のIPアドレスは137.163.75.124だと思いますが,68.162.142.22かもしれません。
ウィルスメールかもしれないと思い,pdfファイルは開けませんでしたが,情報収集。
すると,ITPROに6月27日付のこんな記事がありました。
それによると,偽の会社情報を流して,株取引を操り,売り抜けようとするもの。外国の会社ですからわかりませんが,株数が少ないところならば,若干の雰囲気で株価が急上昇することもあり得ますし,何十度かに一回は成功するのかもしれませんね。
というわけで,ウィルスメールではなかったようですが,やはり,用心して,pdfは開かずゴミ箱へ。
その後,来たものでは,添付ファイルがunpaid-e4ee6.pdf,件名がunpaid-e4ee6.pdf attachedのもの。
添付ファイルがUnpaid.jojkd.pdf,件名がUnpaid.jojkd.pdf attachedのものが来ています。User-Agentは上記同様Thunderbird 1.5.0.12と書かれています。
ウィルスを仕込ませるスパムメールも3通到来 6月30日追記
件名は「You've received a postcard from a family member!」。本文中にhttp://83.23.31.92/(アクセスしないほうが安全です。もし,アクセスする場合は少なくてもjavascriptをオフにしてアクセスすること)やhttp://spray6.hk/,http://trulyx8.hk/
へのリンクあり。
送信者はxdqwn@midsouth.rr.comやhnkb@fs.comやvunoi@midrivers.com。発信元のIPアドレスは96.201.220.113や96.110.179.25や208.117.44.116だと思いますが,84.121.63.112,88.243.53.8,83.9.217.241かもしれません。
このスパムメールについて,ITmediaに6月29日付けの記事がありました。
リンク先のサイトでは、複数の脆弱性を順番に悪用する仕組みになっている。まずQuickTimeの脆弱性悪用を試み、うまくいかなければWinZipの脆弱性、それでもだめならWebViewFolderIconの脆弱性を悪用しようとする。
マルウェアに感染させる方法だが、ユーザーのシステムでJavaScriptが有効になっているかどうかに応じて手口を使い分けている。
JavaScriptが有効な場合、「tm.exe」というダウンローダーがインストールされ、そこから「logi.exe」というファイルを呼び込んでくる。
もしJavaScriptが無効になっている場合は「現在新しいブラウザ機能をテスト中です。もしeカードを閲覧できない場合、ここをクリックしてください」と指示を出してリンクをクリックさせ、ユーザー自らの手で「ecard.exe」というマルウェアをダウンロードさせる。
ご注意ください。
7月1日追記。メール中のリンク先としては,http://67.171.240.158/やhttp://213.39.207.76/もありました。もし,見るのなら,同じく,javascriptをoffで。かつ,決してexeファイルをダウンロードしないようにしましょう。