21日、アメリカの貨物航空会社 フェデックス株式会社 (FedEx Corporation)からの通知と偽ったウイルス添付スパムメール拡散が確認されています。
リージョナルトレンドラボでは、一部日本国内にも流通していることを特定しています。
 |
|
Trend Micro Anti-Spam Engineによってスパムメール判定されたメールの件名には、「Spam:」文字が追加されています。 |
確認されたスパムメールは、テキスト文字で構成されたHTML形式のメール。件名「Fedex Tracking N_ ランダムな数字」と記載され、その差出人は個人名。差出人メールアドレスのドメイン名は必ずしもFedEx社を偽装したものではありません。
その本文には、「住所が正しくないため、荷物が届けられない。添付の請求書を印刷するように」と説明され、添付ファイル(WD6128922.zip)が添えられています。
「WD6128922.zip」を展開することで得られるのが「WD6128922.exe」実行形式ファイル。もちろんこの実行形式ファイルはウイルス「TROJ_RENOS.AIG」です。
ウイルス作成者は利用者が本物の請求書であると信用させるため、「WD6128922.exe」に対しMicrosoft Word形式のファイルを示すアイコンに偽装する工作を施しています。
 |
|
「WD6128922.exe」のアイコンが実行形式ファイルであるにもかかわらず、Microsoft Word形式のアイコンに偽装されていることが確認できます。 |
「TROJ_RENOS.AIG」は発症すると、自身のコピーである「ntos.exe」を「C:WINDOWSsystem32(Windows XPの場合)」フォルダに作成し、作成したファイルがWindows起動時に自動実行されるように以下のレジストリ値を追加します。
|
場所: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon 値: C:WINDOWSSystem32userinit.exe,C:WINDOWSSystem32ntos.exe |
宅配便会社からの通知を偽ったウイルス添付スパムメールは、先月14日にも報告されています。日本国内においても、5月にヤマト運輸株式会社より、ヤマト運輸(クロネコ)を騙るスパムメールについて注意喚起が行われています。
- Trend Micro Security Blog:「宅配便会社からの通知を偽ったウイルス添付スパムメール | スパムマップ配信国ランキング(2008年7月)」
- ヤマト運輸株式会社:「ヤマト運輸(クロネコ)を名乗る迷惑メールについて」(2008年5月8日付け)
スパムメール送信者は、7月に仕掛けたUPS社(United Parcel Service, Inc)偽装スパムメールの成功率の高さに味を占め、新たな攻撃を仕掛けてきたものと予測されます。
トレンドマイクロでは、「IPレピュテーション」、「Webレピュテーション」をはじめとする評価技術により、インターネットクラウド側での脅威対策を進めています。もちろん、最新技術による防衛強化も重要ですが、「今後もいかなるメールにおいても、記載のURL、添付ファイルについて安易にクリックすべきではない」とする安全なインターネット利用指針も軽視すべきではないといえそうです。