怪しげな「docmの添付ファイル」がついたメールは、読まずに削除したほうがよさそう

  • 投稿 : 2016-07-08
・怪しげなファイルは開かない
・ウイルス対策ソフトを導入してても、それを期待して、ファイルを開くのは危険です

ウイルス対策ソフトをすり抜けるように作られている可能性があるので、開かないほうが良い。
作成側もウイルス対策ソフトをいれてすり抜けれるかどうかを確認するのは難しくないので・・・。

どうしても開きたい場合は、送り主に問い合わせるのがよいと思う。

最近来たメールです。7月に入ってから見かけるようになったと思います。
画面は、Yahooメール(WEB)です。gmailでも似た事例があるので、考え方は一緒だと思います。

タイトル:Emailing 英数字の文字列
本文:なし

一番最近のメールです。
Yahooメール(WEB)を使っているのですが、添付ファイルをダウンロードする前にYahooメール側でウイルスチェックをしてくれるんですが、それはすり抜けてるみたいです。おそらく、ウイルスがついてると思うんですが、危険を冒してまで確認したくないので、未確認ですが・・。

タイトル:Scanned image
本文:Image data has been attached to this email.

少し前のがこれ。
これは、Yahooメール側でウイルスを検出してるので真っ黒ですな。

タイトル:英数字の文字列
本文:なし

その前のがこれ。
これも、Yahooメール側でウイルスを検出してるので真っ黒ですな。

.docmファイルとは?

Office Word 2007、Office Excel 2007、Office PowerPoint 2007 のファイル拡張子について、次の表で説明します。
Word
マクロを有効にした文書 .docm
新しいファイル名拡張子および Open XML 形式入門 - Office のサポート

MS Wordの保存形式の一種で、マクロ付き。
マクロ(スクリプト)が仕組めるんで、ウイルスとして動作させることができる。

事例

しかし、マクロを利用した攻撃は、さらにもう一度、脅威の世界へ戻ってきたかのように見えます。トレンドマイクロは、2014年4月、マクロ有効ファイルを利用した攻撃を確認しました。

■オンライン銀行詐欺ツール「ZBOT」を作成するマクロ有効ファイル
「TSPY_ZBOT.DOCM」は、「W97M_SHELLHIDE.A」として検出されるスパムメールの添付ファイルを介して侵入します。このスパムメールは、事務弁護士会からの受信者が関与する「不正行為の可能性」についての Eメールを装っています(図1 参照)。
マクロを有効にした文書ファイルが再び悪用 オンライン銀行詐欺ツール「ZBOT」などの感染に誘導する | トレンドマイクロ セキュリティブログ

数年前から、またこの手のものが増えだしたようです。

[3月30日 追記...]
添付されてる圧縮ファイルがZIP形式ではなく RAR形式 のパターンも~。


[4月4日 追記...]
ボンジュールなフランス語で自分宛てに写真を送ったかのよう装ったものが。


[4月7日、5月13日、7月6日 追記...]
件名と同じワード文書ファイルが添付されてるパターンを確認してます。
web.archive.org:送信者は自分自身のメアド!? 迷惑メール正体とdocm/wsf/jsウイルス拡張子に注意 ( Windows ) - 無題な濃いログ - Yahoo!ブログ

Windowsの場合、拡張子はあまり意味持たないので、拡張子だけに頼るものダメだとは思う。
PDFでもなんでも、怪しげなファイルは開かないほうが良いと思う。

2016年05月06日
今度はgmailアドレスからdocmの添付ファイル


Sent from my Samsung device
「scan.docm」というファイル添付

Samsungデバイスから送っているだと!
今度はgmailアドレスからdocmの添付ファイル: あじゃ日記

そういえば、詳細ヘッダー見たらiPhoneから送られたようになっていた迷惑メールがあった。

Received: from 191.102.92.202 (EHLO azteca-comunicaciones.com) (191.102.92.202)Mime-Version: 1.0 (1.0)
Date: Wed, 06 Jul 2016 09:14:47 -0500
Subject: 555902D152D32530
X-Mailer: iPhone Mail (13F69)

こういうヘッダーだった。



スポンサーリンク