雑記 > ウイルスメールと添付ファイル

PR 国内メーカー東芝の直販 - 4万円台からノートPC安い!

ウイルスメール添付ファイル実例8つ 危険な拡張子開いて感染被害と対策

ファイル名の後ろ部分のピリオド記号以降に付け足される拡張子から種類・形式を判別するウイルス対策とは?Windows XP/Vista/7/8/10パソコン を狙い サイトを見るだけでウイルスを強制インストールさせる脅威(ドライブバイ・ダウンロード攻撃) とともに ユーザーに手動でウイルスを起動させる古典的なダマしの手口 も終わりません。 (ーー)b<自爆感染!

「文書」「画像」「音声」と思い込ませてダブルクリック誘う

この手のマルウェアはどんな感染経路でバラ撒かれる?

勢いよく踏み抜かせたい攻撃者は、それらしいファイル名を設定する、ファイル名を二重拡張子にする、ファイル名を故意に長くする、アイコン画像を偽装する、といった形で少しでも怪しまれないよう工夫します。

メールで受け取ったウイルスの実物画像

思わず 『ん?』 とならざるを得ないウイルスメールの実例として、文面ではなく添付されてた 本物のウイルスのスクリーンショット画像 をドドーンと公開! (・ω・)<有名な セキュリティソフト のファイルスキャンで脅威と判定されない亜種が逐一投入される

Windowsパソコンにウイルスを送り込む不正なJavaScript/JScriptファイル付き英語の迷惑メール実例! 圧縮ファイルを解凍・展開すると身代金要求ランサムウェア… Windowsパソコンにウイルスを送り込む不正なJavaScript/JScriptファイル付き英語の迷惑メール実例! 圧縮ファイルを解凍・展開すると身代金要求ランサムウェア…
「企画書の下書き」や「Invoice」(請求書)名目で添付ファイルを確認するよう誘う英語ウイルスメール

Windowsパソコンにウイルスを送り込む不正なEXEファイル付き日本語の迷惑メール実例! 圧縮ファイルを解凍・展開するとネットバンキング不正送金… Windowsパソコンにウイルスを送り込む不正なJavaScript/JScriptファイル付き日本語の迷惑メール実例! 圧縮ファイルを解凍・展開するとネットバンキング不正送金…
実在する日本の企業の名を騙って添付ファイルを確認するよう誘う日本語ウイルスメール

【ウイルス付き日本語迷惑メールの件名例】
注文書の送付(2016.09.27)
写真
支払条件確認書
口座引落
の陳述書
備品発注依頼書の送付
の買入れについて
Fwd: 佐川急便
Fwd: 商品発送のお知らせ
foto
cargo
doc
photo
付け出し
アカウント
口座
直話
会計
勘定書き
支払請求書
支払いの請求書
1月の請求書
キャンセル完了のお知らせ
発注依頼書
発注書を作成しましたのでお送りします
12月報告書を送りますので
送付
依頼書を
御請求書
【発注書受信】
送付しますので
FireflyFramer
Re:
FW:
Fwd:
12.2016
2017-2016
I
II
III
事故写真です
事故状況
JPG [1/8]
写真を添付致します
添付致し
ダイレクトメール発注
のご注文ありがとうございます
FireflyFramer
 
積算書
様写真
写真のみ 不足し
写真 ご送付いただきまして ありがとうございます
写真を添付にて
様写真お送りします
Re: 写真ありがとうこざいます
㈱ 発注書
FireflyFramer
支払決定金額条件 Re: 最新 10月仕入経費手形資料
商品発送のお知らせ
佐川急便
添付写真について
被害状況
お支払分の通知書の送付について-CSV添付
No.[数字],Fno.[数字]-[数字]
報告 (受注)
修繕工事
 
写真添付
お届け先
振込
了承ください
引渡し
コピー
送料
New Order [英数字]-16-[数字] Shipping by ”DHL”
図面
再送
FireflyFramer
完成写真
転入届けを出しに行きました
写真の撮り直しを お願いいたします
完成状況写真をお送りさせていただきます
基礎工事写真
様邸基礎完成写真
質疑回答書
写真追加
請求書・納品書・写真
の支払書類について
Documents: ●変更依頼 - [数字]TY[数字](許可書)
見積依頼 // [数字]-OCT-2016
氏の件です。
サーバーの請求書
支店口座に振込
添付の通り
 
振込可能です
お支払いについて
10月18日 ・ ON-[数字]
事務長 債務弁済契約書
許可書と送り状
債務弁済
お支払いについて
写しを当職宛お送り
振込先
注文書・注文請書
FireflyFramer
お支払いをしてください
電子請求
お
請求
お支払い期限を
請求書を添付
納品依頼をしてください
納品依頼FAXを送信してください。
納品依頼
商品発送手続完了のお知らせ
 
取引情報が更新されました
Fwd: 台風対策について
台風対策について
注文書の送付
注文書の送付依頼
(発注書)
FireflyFramer
出荷予定日をご確認いただき
ご注文確認メール
ご注文受付メール
注文書
ご確認
お荷物の発送手続き完了のお知らせ
商品出荷完了
【要連絡】修繕依頼
30日の日記
作業日報
 
受注確認メール
買付
のお金が必要
実施
ファイル送付の連絡
宅急便受取指定ご依頼受付完了のお知らせ
募集写真
請求書FAX/Email
レセプト電子請求に合わせ
の写真送ら
FireflyFramer
FW: 宅急便お届けのお知らせ
[写真]確認ください
後払い
画像
司法書士の半田です。
写真 1
宅急便納品完了のお知らせ
発送についてのご案内
和解の件
領収書
FireflyFramer
文書
FW: ご注文の商品を発送いたしました。
未入金リスト
【三井住友銀行】振込受付完了のお知らせ
商品お届けのご案内

ウイルスメールは文面を読ませることが目的であって添付ファイルに触れない限り危険性はないので、メールそのものを迷惑メールフォルダに放り投げる対処方法で問題ありません。

【1】 写真や請求書などを装う英語メール [2016年]

ZIP/RAR圧縮の中身JavaScript/JScript Scriptファイル.jsは身代金要求ウイルスのダウンローダ型トロイの木馬images(1).zip
イメージ? 圧縮ファイル は中身が何なのか表面的に把握できない

ZIP/RAR圧縮の中身JavaScript/JScript Scriptファイル.js身代金型ウイルスのダウンローダ型トロイの木馬Photos.zip
フォト? 圧縮ファイル は中のファイル形式に注目すことが大事

ZIP/RAR圧縮の中身Windows Scriptファイル.wsf
ファイルの形式に無知だと 「巻き物+白紙」 の図案を文書と誤認する

www.virustotal.com/ja/file/eba2122ac843a2a1b6d9e9552a0ffbdf5d14a9d0841b1fc6fc5ca3b3c7ef400a/analysis/1459435532/
www.virustotal.com/ja/file/0f791358bb723399db636bd7bea0c1c907dbf53a841f26e564ed65f5beec2339/analysis/1459340251/
www.virustotal.com/ja/file/5a6a4f1c00bd8722e18bd06116dc41ba00d7578dd4cc772ebf107651591b5386/analysis/1480000876/

【2】 ヤマト運輸の荷物配達通知などを装う日本語メール [2016年]

ZIP圧縮の中身はクロネコヤマト荷物配送を装う拡張子.PDF.exeな実行ファイル

ZIP圧縮ファイルの中身はクロネコヤマトの配達通知を装った二重拡張子.Pdf.exeなアプリケーション

ZIP形式の圧縮アーカイブを展開・解答するとヤマト運輸を名乗り偽装された拡張子.pdf.exeな実行ファイル
クロネコヤマトから!? PDF文書と誤認させる二重拡張子

www.virustotal.com/ja/file/22fe4de964db8874728d54c8327f0763383b56bb838983ac2d0ad16f9a9f0296/analysis/1471381148/
www.virustotal.com/ja/file/504d71d3e1ddf4487033d6c8a5840c7eccc5babcd7f23a5587eaa07aa61ea148/analysis/1473189686/
www.virustotal.com/ja/file/1af5467950d5e171827936d522ae7fc47d7e92cb639d83a6d1b1e6170568987c/analysis/1470697561/

【3】 請求書を装う日本語メール [2017年]

ショートカットウイルス Doc1.lnk document_07-021.lnk ファイルの拡張子はWindowsの仕様で必ず省略され表示されない
ショートカットはアイコン左下の矢印マークが目印

www.virustotal.com/ja/file/a5ed6b362fd9132a0205ee78987c4a5b5b0acb1af1dbf4862f6f0ee59ee0f901/analysis/1486425478/
www.virustotal.com/ja/file/c5d8d097660b89e425d29dcce07bf1b56b875a24bbffd5e88a222799b177fbb9/analysis/1486512596/

【4】 日本郵便EMSの荷物配達通知を装う日本語メール [2016年]

ZIP圧縮の中身は日本郵便の国際スピード郵便EMSの配達通知を装ったスクリプト JScript Encoded Script ファイル.jse
海外のサイバー犯罪者が日本人を狙うためのファイル名

www.virustotal.com/ja/file/06b43876868cec2bb0671aca62e75c3f5f4bab29f72e206105fa2b6ee926cfdc/analysis/1461710078/

【5】 アマゾンジャパンの商品注文確認通知を装う日本語メール [2016年]

ZIP圧縮の中身は Amazon.co.jp お支払いの確認!? 注文通知を装うPDF文書はUnicodeの制御文字RLOトラップ/RLTrapで偽装したスクリーンセーバー
拡張子の偽装で 「~fdp.scr」 であるべきところが 「~rcs.pdf」 になってる

試しにダブルクリックして起動してみると、実行ファイル 「Japan.exe」 が裏でドロップされて起動し、一方でWindowsユーザーにウイルス感染を悟らせない表向きの演出としてダミーの注文確認書が表示されました。 (-_-;<これも日本語

メールの添付ファイルを実際に起動してみるとメインのマルウェアである実行ファイル Japan.exe が裏でドロップされて起動し、Amazon.co.jp の商品注文通知テキスト文書 AmazonDelivery.txt のダミーが表示された

www.virustotal.com/ja/file/5c984f2155962ca5e0f99f014c3e9a52581198443c33793b9911fa43781cb635/analysis/1465340961/
www.virustotal.com/ja/file/8ceb62ea9c3fc6c34f4f96d2ad186b732d17a0ec3e821eee790943043c6f5dcd/analysis/1465345933/

【6】 送信者が自分自身のメールアドレスになってるメール!? [2016年]

送信者が自分自身のメールアドレスに偽装されててOffice文書を送信したかのように見える迷惑メールが!

自分が自分アドレス宛てにファイルを送信メール!? ワード文書な添付ファイルでdocm/doc拡張子、ファイル名はランダム英数字
マクロウイルス! Officeファイルは見た目で怪しいと判断しようがない…

同じように、送信者が自分自身のメールアドレスに偽装されてて写真を送信したかのように見える迷惑メールも!

自分が自分アドレス宛てにファイルを送信メール!? メールでは写真だったのにWindows Scriptファイル!
拡張子に注目すれば画像でないことは明らかだけど…

【7】 米銀行 Bank of America(バンカメ) を名乗る英語メール [2013年]

拡張子非表示
実行ファイルのアイコンなのにPDF文書のアイコンを反映

拡張子表示
拡張子を表示すると実行ファイル(.exe)に偽装

www.virustotal.com/ja/file/70d039e8158280fc8e8c6d29d894652449402583d34a39406dcd38ce650904fb/analysis/1373878652/

【8】 メール本文中のURLアドレスからダウンロードしたファイル [2014年]

ファイル名を故意に長くすることでファイル名の後ろ部分が省略される仕様を悪用
AVI動画ファイルの二重拡張子にした実行ファイル

ファイル名が異様に長くエクスプローラ上では後ろ部分が ”...” で省略される仕様を悪用したトリック! (ファイルの拡張子は動画ファイル .avi を装う二重拡張子となっててチグハグだけど…

www.virustotal.com/ja/file/af4be432c976e732d3b46589081736aacf9dbe69097c6b3c3bb9cc95bcc72693/analysis/1390480123/

【X】 参考実例 日本年金機構のサイバー攻撃 [2015年]

日本年金機構が標的型攻撃を受けてバックドア Emdivi に感染し約125万件の個人情報が流出する事件が起こったけど、この攻撃は流暢な日本語で書かれた必ずしも不自然ではない業務メールでした。

日本年金機構の実例 怪しくない日本語メールは添付ファイルとURLで 圧縮アーカイブから実行ファイル開くよう誘導する手口
不特定多数を狙ったウイルスメールキャンペーンとは明らかに違う手口
(出典 内閣サイバーセキュリティセンター

ファイルの形式だけ見ると一般ユーザーを狙う手口とさほど違いがないように感じます。

ただ、標的型攻撃らしい特徴的な流れがあって、第1波でセキュリティ製品をスリ抜ける 添付ファイルのないメール でウイルス感染させ、ここで流出した可能性がある機構内の個人メールアドレス宛てに第2波(一週挟んだ週明け、表のIIとIII)が発生してます。 (;д;)<年金情報流出そのものは最後の「医療費通知」ネタがきっかけ

● JPEG形式の画像が入ってるフォルダ? [2014年]

誰でも利用できる日本国内のアップローダーサイトで公開されてたファイルで、パッと見ではフォルダにしか見えません。 (@o@)<ヒィ!

拡張子非表示
スクリーンセーバーな実行ファイル(拡張子 .scr)のアイコン画像をフォルダ・ディレクトリに偽装

www.virustotal.com/ja/file/1dd3d68cba9059738a23ea1c60ec70b87339746ea19ae4b9249ab2491701f13d/analysis/1389255583/

● Chromeブラウザ HoeflerText フォント? [2017年]

The HoeflerText font wasn't found Chrome Font Pack .exeダウンロード
暗転した一般サイト上に偽通知が表示される巧妙な手口

改ざんされてる一般サイトに Chrome ブラウザでアクセスしたら偽の通知 『The ”HoeflerText” font wasn't found』 が表示され、フォントのアップデート名目の実行ファイルを起動するよう誘惑する手口です。

ファイルの拡張子が表示されるようWindowsの設定を変更する方法

開くと危険な拡張子 スクリプトファイルや実行ファイル

ファイルの拡張子に注意を払うのはウイルス対策の基本だけど、ウイルス定義データを更新して後を追うセキュリティソフトが脅威と判定しないのを根拠にうっかり開いてしまえば元も子もありません。 (´・ω・`)

添付ファイルにJavaScriptを使う不正なメールの数量は今までもっとも多い第2四半期と比べて69%増加しました JavaScriptの添付ファイルは従来の防雨魚手段を迂回しようとするため大規模なメール配信キャンペーンを引き続きリードします
ウイルスメールの攻撃手口は スクリプトファイルOfficeファイル の添付
(グラフ出典 Proofpoint Threat Summary、2016年1~9月)

ユーザーの意思でダブルクリックしたら何が悪いことが起こってもおかしくない 危険なファイルの形式 はこんなところ。 (^^ゞ<ファイルの出所がハッキリしないなら激ヤバ!

ウイルスに悪用されまくる危険な拡張子
人気 スクリプトファイル .js .jse
.wsf
.vbs
.vbe
人気 Officeファイル+マクロ .doc .docm
.xls .xlsm
HTMLアプリケーション .hta http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-file.htm
人気 実行ファイル .exe
スクリーンセーバー .scr
ショートカット .lnk

ウイルスに悪用されうる拡張子
SVG ドキュメント .svg http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-file.htm
リッチテキストドキュメント .rtf
Javaアプリケーション .jar
ヘルプファイル
.chm
DOSファイル .bat .com
.cmd .pif
コントロールパネル
.cpl
PDF文書 .pdf

そもそも”怪しい”と見抜けない?

怪しい添付ファイルを開くな!』 と言われるけど、ウイルスメールの現物を目にする実践的な経験のないユーザーさんに”怪しい”と見抜けというのは無謀で (1)セキュリティソフト やスパムフィルタ のスリ抜けが発生し、(2)何だかんだ人間が ヒューマンエラー を起こして踏み抜く、ってな現実を無視すると痛い目にあいます。

そこで、攻撃手段として採用機会の多い不正な スクリプトファイルスクリプトウイルス) と Officeファイルマクロウイルス)、PowerShell の悪用 を見越した無料ウイルス対策は有効です。

  1. js/jse/wsf/vbs拡張子でウイルス感染 無料対策で被害防止
  2. doc/docm/xls/xlsm拡張子でウイルス感染 無料対策で被害防止
  3. ランサムウェア対策に有効 ファイアウォール設定で被害防止

ちなみに、メールソフトがサポートしてるメッセージのプレビュー機能でもってウイルスが自動的に起動する 15年近く前の脅威 がいちおうあるけど、今現在はそのような攻撃手法が採用される機会がないので大丈夫です。

二重拡張子のファイル名

拡張子を表示しない設定が有効のまま だと、ファイル名の中の赤い文字列がエクスプローラ上で表示されないので本来の形式を見誤ることになります。

文書? ⇒ ~.docx.exe / ~.doc.scr / ~.doc.js / ~.pdf.scr
画像? 写真? ⇒ ~.jpg.exe / ~.jpeg.exe / ~.png.exe

Windowsパソコン向け無料オンラインウイルス&スパイウェア駆除スキャン

開いても安全な拡張子 テキストや画像

逆に、開いても危険性はない安全な種類は テキストファイルメディアファイル です。 (´o`)v<画像ウイルスや動画ウイルスは流行っておらず存在しないに等しい

ウイルスに悪用されない安全な拡張子
テキスト文書 .txt http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-file.htm
画像・写真 .jpg .png .gif .bmp
音楽・音声 .mp3 .wma .wav .mid
動画 .wmv .mp4 .avi .mpg

圧縮アーカイブ開いたらウイルス感染!?

ウイルスメールの添付ファイルとして圧縮アーカイブが投入される機会はけっこう多いけど、単に 圧縮アーカイブを開いた(解凍・展開)だけで中のウイルスが自動的に起動してしまう ことはあり得ないからご安心を♪

中身が危険な場合がある拡張子
圧縮アーカイブ .zip .rar .lzh

ファイルの拡張子が表示されるようWindowsの設定を変更する方法

スマホやタブレットは?

これらスクリプトファイル、マクロ付きOfficeファイル、実行形式ファイルはWindows向けなので、Mac OS XAndroid OSiOS(Phone/iPad)ガラケー 上では動作せず影響環境の範囲外です。

ただ、Android OS を搭載するスマホやタブレットは公式マーケット Google Play 外から野良アプリを取り込めるので、もっともらしい名目で不正なアプリを端末にインストールするよう仕向ける攻撃が確認されてます。 (・ω・)<たとえば 性的脅迫セクストーションAndroidランサムウェア

ウイルスに悪用される危険な拡張子
Androidアプリ .apk

PR 《Yahoo!ショッピング特集》 Tポイントが抽選で当たる無料ポイントくじも!

関連キーワード統計情報
[ファイル 拡張子 表示] [ファイル 拡張子 調べる] [ファイル 拡張子 判別] [ファイル拡張子とファイル形式] [ファイル拡張子 一覧] [ファイル拡張子 ダウンロード] [ファイル拡張子 種類] [二重拡張子 ウイルス] [ウイルスメール 見分け方] [ウイルスメール 対策] [ウイルスメール 実例] [日本郵政 メール ウイルス] [ヤマト運輸 ウイルスメール] [ウイルスメール 対処法] [ウイルスメール 添付ファイル] [ウイルスメール 注文書] [ウイルスメール 事例] [ウイルスメール 多い] [ウイルスメール 写真] [怪しい ファイル 拡張子] [ウイルスメール 気をつけること] [迷惑メール ウイルス 蔓延] [iPhone 迷惑メール ウイルス] [スマホ 迷惑メール ウイルス] [パソコン ウイルス メール] [iPhone ウイルス メール] [スマホ ウイルス メール] [携帯 ウイルス メール] [ZIP 英語メール ウイルス] [DOCM DOC 拡張子 ウイルス] [メール JS WSF Script ウイルス] [ランサムウェア 対策] [ランサムウェア 感染経路] …

雑記 > ウイルスメールと添付ファイル


Copyright © 2016 Let's Emu!. All rights reserved.