先日、毎年バレンタインデイを狙うウイルスが登場しているので今年も出るでしょう、というお話を書きましたが、やはり今年もバレンタインデイをネタにウイルスを頒布しようとするスパムメールが確認されました。メール自体は以下のようにURLが含まれているだけのシンプルなテキストです:
図1 不正サイトに誘導するスパムメール例
昨日12日から今までに私のメールアドレスでも同様のメールを10通ほど受信していました。ただ画像にありますようにトレンドマイクロ製品ではこのメールを既にスパムとして処理していますので、このメールに不用意にアクセスしてしまうような危険は回避できていると考えています。
URLをクリックすると不正プログラムをダウンロードさせるサイトが表示されます。ダウンロードサイトでは以下のような様々なグラフィックが表示されるます:
図2 不正サイトで表示されるグラフィック例
こちらの検証環境からダウンロードサイトのひとつにアクセスしたところ、見事に”VALENTINE.EXE”のダウンロードが始まりました:
図3 不正サイトからのダウンロード画面例
トレンドマイクロでは現在のところこのダウンロードされる不正プログラムを「WORM_NUWAR.UJ」として検出対応しています。また、既に確認されているダウンロードサイトはすべてURLフィルタリングでのブロック対象としています。ただし、最近の攻撃の定石として、サーバ側で不正プログラム自体を変更していくことや、ダウンロードサイト自体を新たに移動させていくことが考えられます。もしサイトがブロックされずにアクセスでき、ダウンロードされたファイルが各種アンチウイルス製品で検出しなかったとしても、絶対にオープンせずトレンドマイクロへの検体提供をお願いします。
また、バレンタインデイに限らずこのような手口の攻撃は今や定番化していますのでスパムメールのURLにはアクセスしないことをお勧めします。