Re:シルの日々の戯言。

折れた心が少しだけくっついたから何かを綴ってみるテスト。

戯言ネタが無いので今日届いた怪しい添付ファイル付きメールをLinux環境で調べてみた

残暑厳しい今日この頃、風景写真を撮りに行く気にならず、戯言を綴ろうにも何も綴れない日々が続いております。*1

今回は面白みに欠けるネタですが、いつもの如く怪しい添付ファイル付きメールが届いたのでマンネリ気味にLinux環境で調べてみました。

sylve.hatenablog.jp
sylve.hatenablog.jp

今回到着したメール

f:id:sylvester:20160906215815j:plain

得体の知れない「写真」とだけ付けられたメールです。写真を見るよう促しているので、シンプルながらもパソコンオタクでは無い一般ユーザーさんは心当たりが無いけど戸惑いつつ添付された写真を見ようとする嫌らしいパターンです。*2
多少知見があれば「これは怪しいメールだ!」と判断出来ますが、結構引っ掛かるユーザーさんが多そうなメールです。*3

メールのヘッダー情報

今回もメールのヘッダー情報を参照してみました。
f:id:sylvester:20160906221010j:plain
それほど興味も無いのであんまりIPアドレスを解析する気はありませんが、メール送信元はniftyアドレスにも関わらずヘッダーにはyahoo.co.jp(フリーメール)のアドレスが見受けられます。更に興味深いことに今回は何やら「odn.ad.jp」と書かれた記録が見受けられます。

このメールを送信したスパマー或いは踏み台にされた人はODNを利用しているユーザーさんと言う事になるのかなぁ?*4

あと、何かMIME-Versionを見ると「Mac OS X Mail 9.3」とか書かれてるので、送信元はMac環境かよ・・・。*5

怪しいZIPファイルの中身

f:id:sylvester:20160906222715j:plain
ファイルを開くために保存しようとしたらsophosさんが反応した!!!11*6

どうやら【 Troj/Bredo-AJR 】と呼ばれるウイルスが仕込まれているようです。
Troj/Bredo-AJR - Viruses and Spyware - 脅威解析 - Threat Center

sophosさんのサイト上ではあまり細かい情報は掲載されていませんが、Windowsをターゲットとしたウイルスのようです。
一応Googleで検索するとトレンドマイクロから類似の【 TROJ_BREDO.JJH 】と呼ばれるウイルスの情報が引っ掛かったので、合わせて確認して見ると・・・

ユーザが監視サイトのいずれかにアクセスすると、マルウェアは、キー入力操作情報を収集します。 マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

TROJ_BREDO.JJH | 危険度: 低 | トレンドマイクロ:セキュリティ情報

・・・わーお、典型的なマルウェアで情報ブッコ抜きですね。*7

前回みたいにバイナリのヘッダー部分だけ見てみたかったのですが、執拗にsophosさんが止めるので今回はここで調査終了です。

ウイルス対策製品、必要だねぇ・・・

今回は、改めてウイルス対策製品の重要性を痛感した次第です。
いえ、ネタ的にはもうチョット調べてみたかったのですが*8怪しい添付ファイルに触れた瞬間にウイルス対策ソフトが反応してくれたので、当たり前の挙動ですが「おぉぅ!」と驚きました。*9

今の御時世、何が怪しいのかが分からない状況となりつつあるので、皆様は何らかのウイルス対策製品を導入してスパイウェアマルウェアからパソコンを守っていきましょう。

*1:土曜日は辛うじて外出するものの、日曜日はエアコンが効いた部屋でgdgdと駄目人間している今日この頃です。

*2:メールアドレスは知らないが、知人やお客さんからのメールだったらどうしよう・・・と言うのを狙ったパターンかも知れませんね。

*3:この手のメールは、基本的に無視して削除するに限ります。下手に「間違いメールですよ」と反応したり、興味本位で添付ファイルを開くと大量の迷惑メール爆撃+ウイルス感染待った無しです。

*4:ちなみに、埼玉に割り当てられてるIPアドレスの模様ですが、ド素人ではそこまでしか分からん\(^o^)/

*5:バージョン的にはOS X El-Capitan、私もEl-Capitanを使ってるので一瞬自分の情報かと思いましたが、考えてみたら受信環境が(仮想環境の)CentOS 7+Thunderbird環境なので、どうやら送信元のスパマーさんの送信環境情報が残ってた模様・・・

*6:検証環境と言えどウイルス対策製品欲しいなぁ・・・と調べてたらiMacMacBookでお世話になってるsophosさんがLinux向けでも無償提供してくれていたので、一応インストールしておいたら・・・

*7:もう少し調べてみると、もしかすると【TROJ_UPATRE.AH】かも知れませんが、断定には至りませんでした。ただ、触れない方が良い怪しさ爆発のウイルスのようです。

*8:そう言ってもバイナリを無理矢理vimエディタで開いて「This is program cannot be run in DOS mode」の文字列を見るくらいしか出来ませんけど。

*9:sophosインストール直後の動作確認でEICARテストファイルで反応させた事はありますが、実践で反応するとは・・・。いえ、怪しさ爆発してて多分ウイルスだろうなぁ・・・と最初から思ってましたけど。