福田康夫新首相が誕生したばかりですが、驚くべきことに早くも福田新首相を騙った不審なメールが確認されました。
メールには圧縮ファイル「mofa.zip」が添付されています。その「mofa.zip」の中身が以下の「mofa.exe」です。Wordのアイコンですが、拡張子は「doc」ではなく「exe」です。
この「mofa.exe」を実行すると、Wordファイル「mofa.doc」が開きます。内容は福田首相の公式サイトの一部です。但し、同サイトでは使用されていない「SimSun」というフォント(日本語環境で中国語を表示させたり、中国語環境で日本語を表示させたりする場合に使用されるフォント)が、このWordファイルの中で使用されています。このフォントは標準のWindows XP環境では日本語として普通に表示されますが、Windows 2000+Word 2000の環境では以下のように文字化けします。
また、このWordファイルのプロパティを見ると、作成者の欄に中国語の名前があることが確認できます。
このWordファイルは恐らくユーザの目をごまかすためのものであり、実際には裏で既に不正プログラムが活動を開始しています。
トレンドマイクロ製品では、このEXEファイルを「BKDR_DARKMOON.BG」として検出します。ウイルスの動作などの詳細については、「BKDR_DARKMOON.BG」のウイルス情報ページをご覧ください。
※パターン 4.743.00までは「TROJ_AGENT.AAXT」という検出名でしたが、2007/9/28のパターン 4.745.00から「BKDR_DARKMOON.BG」に改称されました。
現時点で福田首相の公式サイトには、このメールについての警告文が掲載されています。
メールで送られてくるWordアイコンのEXEファイルは、その時点で極めて不審です。常に拡張子を表示させて、不審なファイルに気付くように心がけましょう。