Tag Archives: malicious attachments

スパマーは、長らく途絶えていた古い手法を再び使い始めています。.zip ファイルを添付し、ユーザーを欺いて圧縮形式のマルウェアを実行させるという手口です。以下のグラフは、.zip ファイルが添付されたスパムメッセージが、シマンテックの Global Intelligence Network（GIN）で過去 90 日間にわたって検出された件数を示しています。

 

図 1. .zip が添付されたスパムメッセージの過去 90 日間にわたる検出件数

 

1 月 7 日を見ると、シマンテックの GIN に届いた .zip 添付スパムのうち 99.81% が、「BankDocs-」の後に 10 桁の 16 進数が続く形式のファイル名でした。

 

図 2. 「BankDocs-」で始まるファイル名の .zip が添付された電子メール

 

翌 1 月 8 日になると、99.34% が、「Invoice-E_」の後に 10 桁の 16 進数が続くファイル名になりました。

 

図 3. 「Invoice-E_」で始まるファイル名の .zip ファイルが添付された電子メール

 

さらに翌 1 月 9 日には、98.94% が、「Early2013TaxReturnReport_」の後に 10 桁の 16 進数が続くファイル名になります。

 

          

図 4. 「Early2013TaxReturnReport_」で始まるファイル名の .zip ファイルが添付された電子メール

 

そして 1 月 10 日には、98.84% が「[ブランド名は編集済み]_December_2013_」の後に 10 桁の 16 進数が続くファイル名でした。

 

図 5. 「[ブランド名は編集済み]_December_2013_」で始まるファイル名の .zip ファイルが添付された電子メール

 

これらの例は、ファイル名と MD5こそ異なっていますが、すべて同じマルウェアが仕掛けられており、シマンテックはこれを Trojan.Zbot として検出します。Trojan.Zbot は、侵入先のコンピュータから機密情報を盗み出すことを主な目的としたトロイの木馬です。

 

1 月 10 日以降、スパム量は通常レベルに戻っているので、大規模な攻撃は今のところ沈静化しているようですが、スパマーがまた大きな攻撃活動を仕掛けるのは時間の問題でしょう。ウイルス対策ソフトウェアは常に最新の状態に保ち、不明な送信者から届いた添付ファイルは開かないようにしてください。

 

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

After a long hiatus, spammers are once again using an old trick, where they attach a .zip file to trick the user into executing the compressed malware. The chart below shows the number of spam messages with .zip attachments over the last 90 days in Symantec’s Global Intelligence Network (GIN).

 

 

On January 7, 99.81 percent of the .zip attachment spam that came into Symantec’s GIN had the file name “BankDocs-”  followed by 10 hexadecimal characters.

 

 

On January 8, 99.34 percent of the .zip attachment spam seen in Symantec’s GIN had a file name “Invoice-E_” followed by 10 hexadecimal characters.

 

 

On January 9, 98.94 percent of the .zip attachment spam seen in Symantec’s GIN had a file name “Early2013TaxReturnReport_” followed by 10 hexadecimal characters.

 

          

 

On January 10, 98.84 percent of the .zip attachment spam seen in Symantec’s GIN had a file name “[BRAND NAME REDACTED]_December_2013_” followed by 10 hexadecimal characters.

 

 

While these examples have different file names and MD5s, they all carry the same malware, identified by Symantec as Trojan.Zbot. This Trojan has primarily been designed to steal confidential information from the compromised computer. 

 

It appears that the large attack has subsided for now, as the spam volume returned to normal levels after January 10, but it is just a matter of time before spammers organize another large campaign. Users should keep their antivirus software up-to-date and should not open attachments from unknown sources.