トレンドラボでは、脅威情報を収集するために世界各国に罠(ハニーポット)を仕掛けています。今回はその罠によって確保されたスパムメールを紹介します。
|
|
※この記事にはその後判明した事実に基づく統括情報を公開しております。こちら からご参照ください。
リージョナルトレンドラボは10月24日、マイクロソフト株式会社のServerサービスに存在する脆弱性(MS08-067:CVE-2008-4250)を悪用し、Webサイトから不正プログラムをダウンロードする「WORM_GIMMIV.A(ギミブイ)」と、「WORM_GIMMIV.A」によりダウンロードされ、実被害を及ぼすトロイの木馬型スパイウェア「TSPY_GIMMIV.A」の被害報告を受信いたしました。
※当初本記事中において、「TSPY_GIMMIV.A」自体に脆弱性(MS08-067:CVE-2008-4250)を悪用するかのような表現がありましたが、リージョナルトレンドラボのその後の調査により、「TSPY_GIMMIV.A」自体に脆弱性を悪用するコードが含まれていないことを確認いたしました。
本脆弱性を悪用したワーム型不正プログラム「WORM_GIMMIV.A」の感染活動の一つとして、「TSPY_GIMMIV」がダウンロードされることを確認いたしました。
10日、マイクロソフト社に実在する社員からのセキュリティ情報の通知と偽り拡散するウイルス添付スパムメールが確認されています。
リージョナルトレンドラボでは、一部日本国内にも流通していることを特定しています。
|
Trend Micro Anti-Spam Engineによってスパムメール判定されたメールの件名には、「Spam:」文字が追加されています。 |
10月2日、トロイの木馬「TROJ_PAKES」(ペークス)ファミリのメールによる拡散を確認いたしましたのでご注意ください。
「TROJ_PAKES.AXQ」はスパムメール(迷惑メール)の添付ファイルとして侵入することを確認しています。ウイルスである添付ファイル「doc.zip」は、自身を圧縮形式の1つであるZIP形式にて圧縮するとともに、パスワード保護(暗号化)を施しています。メール本文中には暗号化を解除するパスワードが記載されており、利用者はそのパスワードを入力することでウイルスファイル「doc.exe」を開くことができます。
被害報告は、日本をはじめ、ヨーロッパ諸国、フランス、スペイン、カナダ、アメリカなど複数の国から寄せられています。
|
Trend Micro Anti-Spam Engineによってスパムメール判定されたメールの件名には、「Spam:」文字が追加されています。 |