JAPAN POSTジャパンを騙る不審メール

Facebooktwittermail

本日、「件名:番号4967692の下の小包の配達」のメールが届きました。
はて? 最近買ったのはAmazonで全て商品到着してるけど何かあったかな?
Image20151215131840

「JAPAN POSTジャパン」なんて書いてあるけどどこって調べたら本物の日本郵政が注意喚起を記載していました。

発表日:2015年12月14日
タイトル:「JAPAN POSTジャパン」や「日本郵政」等を名乗って小包の配達を装った不審メールにご注意ください。

http://www.japanpost.jp/information/2015/20151214114758.html


差出人がbelkavlgd@rambler.ruだしメールリレーで中国=>ローカルサーバ=>ロシア=>日本でした。中国、マジ糞だな。
Image20151215092759

しっかり添付ファイル(日本郵便追跡_7384837.zip)も添えられています。

せっかくなので調べてみました。
この添付ファイルはAVG Free Editionでは「脅威無し」でした。
解凍すると「日本郵便追跡 qfdp.exe」が作成されます。拡張子非表示だとpdfファイルのように勘違いしてしまいます。
Image20151215093456

取り敢えず実行してみると一瞬Windows commandが実行されたようで、その後それらしい追跡記録の画像が表示されました。
Image20151215095044

日本郵便追跡 qfdp.exeの中身を見ると[WinRAR SFX]の自動解凍ファイルで
Path=%temp%
Setup=work1.exe
Setup=post1.png
Silent=1
Overwrite=1
Update=U
のパラメータで実行されます。

%temp%は通常C:\Users\UserID\AppData\Local\Tempなどですが、ここにwork1.exe,post1.pngを解凍してwork1.exeを実行、さらにpost1.pngを表示します。

実行後post1.pngは残りますがwork1.exeは消えていました。
おそらく他のディレクトリにプログラムを仕込んだあとにwork1.exeを削除しているのでは無いかと思います。

暫く感染(?)PCを使用してみましたがキー入力がぎこちない感じがしました。
キーロガーかな? でも今時のアンチウイルスソフトでキーロガーを見逃すことは無いと思います。
ちなみにWindows 10のWindows Defenderでも「脅威無し」でした。

最後にSymantecに検体を送信しておきました。
ウイルスサンプルの提出
http://www.symantec.com/ja/jp/security_response/submitsamples.jsp

この記事を書いている間にさらに同様のメールが届きました。
一応、日本語なので日本を狙い撃ちしているのでしょう。しかし宛先に複数人指定したり「差出人:テスト花子」とか詰めが甘いよ。
Image20151215132116

Leave a Reply