pdfスパムの到来

いつになく,かわったスパムメールが到来。
件名は「refundable」。本文が無く,Notification-pdas.pdfという名前のpdfファイルが添付されています。
User-AgentはThunderbird 1.5.0.12。発信元のIPアドレスは137.163.75.124だと思いますが,68.162.142.22かもしれません。

ウィルスメールかもしれないと思い,pdfファイルは開けませんでしたが,情報収集。
すると,ITPROに6月27日付のこんな記事がありました。

それによると,偽の会社情報を流して,株取引を操り,売り抜けようとするもの。外国の会社ですからわかりませんが,株数が少ないところならば,若干の雰囲気で株価が急上昇することもあり得ますし,何十度かに一回は成功するのかもしれませんね。

というわけで,ウィルスメールではなかったようですが,やはり,用心して,pdfは開かずゴミ箱へ。

その後,来たものでは,添付ファイルがunpaid-e4ee6.pdf,件名がunpaid-e4ee6.pdf attachedのもの。
 添付ファイルがUnpaid.jojkd.pdf,件名がUnpaid.jojkd.pdf attachedのものが来ています。User-Agentは上記同様Thunderbird 1.5.0.12と書かれています。

ウィルスを仕込ませるスパムメールも3通到来 6月30日追記

件名は「You've received a postcard from a family member!」。本文中にhttp://83.23.31.92/(アクセスしないほうが安全です。もし,アクセスする場合は少なくてもjavascriptをオフにしてアクセスすること)やhttp://spray6.hk/,http://trulyx8.hk/
へのリンクあり。
送信者はxdqwn@midsouth.rr.comやhnkb@fs.comやvunoi@midrivers.com。発信元のIPアドレスは96.201.220.113や96.110.179.25や208.117.44.116だと思いますが,84.121.63.112,88.243.53.8,83.9.217.241かもしれません。

 このスパムメールについて,ITmedia6月29日付けの記事がありました。

リンク先のサイトでは、複数の脆弱性を順番に悪用する仕組みになっている。まずQuickTime脆弱性悪用を試み、うまくいかなければWinZipの脆弱性、それでもだめならWebViewFolderIconの脆弱性を悪用しようとする。
マルウェアに感染させる方法だが、ユーザーのシステムでJavaScriptが有効になっているかどうかに応じて手口を使い分けている。
JavaScriptが有効な場合、「tm.exe」というダウンローダーがインストールされ、そこから「logi.exe」というファイルを呼び込んでくる。
もしJavaScriptが無効になっている場合は「現在新しいブラウザ機能をテスト中です。もしeカードを閲覧できない場合、ここをクリックしてください」と指示を出してリンクをクリックさせ、ユーザー自らの手で「ecard.exe」というマルウェアをダウンロードさせる。

ご注意ください。
7月1日追記。メール中のリンク先としては,http://67.171.240.158/やhttp://213.39.207.76/もありました。もし,見るのなら,同じく,javascriptをoffで。かつ,決してexeファイルをダウンロードしないようにしましょう。