今回到着したメール

得体の知れない「写真」とだけ付けられたメールです。写真を見るよう促しているので、シンプルながらもパソコンオタクでは無い一般ユーザーさんは心当たりが無いけど戸惑いつつ添付された写真を見ようとする嫌らしいパターンです。*2
多少知見があれば「これは怪しいメールだ！」と判断出来ますが、結構引っ掛かるユーザーさんが多そうなメールです。*3

メールのヘッダー情報

今回もメールのヘッダー情報を参照してみました。

それほど興味も無いのであんまりIPアドレスを解析する気はありませんが、メール送信元はniftyアドレスにも関わらずヘッダーにはyahoo.co.jp(フリーメール)のアドレスが見受けられます。更に興味深いことに今回は何やら「odn.ad.jp」と書かれた記録が見受けられます。

このメールを送信したスパマー或いは踏み台にされた人はODNを利用しているユーザーさんと言う事になるのかなぁ？*4

あと、何かMIME-Versionを見ると「Mac OS X Mail 9.3」とか書かれてるので、送信元はMac環境かよ・・・。*5

怪しいZIPファイルの中身

ファイルを開くために保存しようとしたらsophosさんが反応した！！！１１*6

どうやら【 Troj/Bredo-AJR 】と呼ばれるウイルスが仕込まれているようです。
Troj/Bredo-AJR - Viruses and Spyware - 脅威解析 - Threat Center

sophosさんのサイト上ではあまり細かい情報は掲載されていませんが、Windowsをターゲットとしたウイルスのようです。
一応Googleで検索するとトレンドマイクロから類似の【 TROJ_BREDO.JJH 】と呼ばれるウイルスの情報が引っ掛かったので、合わせて確認して見ると・・・

ユーザが監視サイトのいずれかにアクセスすると、マルウェアは、キー入力操作情報を収集します。 マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

TROJ_BREDO.JJH | 危険度： 低 | トレンドマイクロ：セキュリティ情報

・・・わーお、典型的なマルウェアで情報ブッコ抜きですね。*7

前回みたいにバイナリのヘッダー部分だけ見てみたかったのですが、執拗にsophosさんが止めるので今回はここで調査終了です。

ウイルス対策製品、必要だねぇ・・・

今回は、改めてウイルス対策製品の重要性を痛感した次第です。
いえ、ネタ的にはもうチョット調べてみたかったのですが*8怪しい添付ファイルに触れた瞬間にウイルス対策ソフトが反応してくれたので、当たり前の挙動ですが「おぉぅ！」と驚きました。*9

今の御時世、何が怪しいのかが分からない状況となりつつあるので、皆様は何らかのウイルス対策製品を導入してスパイウェアやマルウェアからパソコンを守っていきましょう。