アカウント名:
パスワード:
会社のメールに届いてた添付に[Invoice_9xxxxxx_scan.zip]たぶんこれだろうゲートウェーのメールチェックをスルーし、ローカルのマカフィーEnt8.7.0iでZIPをファイルチェックしても引っかからない
そのZipファイルにJSだけ入ってるならば、このマルウェアですね。
で、ちょっとそのファイルを開いてみて、CrypTesla本体もローカルのマカフィーで検出しないかチェックしてみてくれる?w#やるなよ。絶対にやるなよ。絶対だぞ。
怖いので、オフラインのmac上で解凍してみた。中身は50KBほどのJSファイルだけでした。
トレンドのブログの通り、難読化されてて、普通に中身を見ても意味不明でした。
さっき、似たような命名センスなzip添付メールを削除しましたけど、これでしたか。ついでに、spamフィルタもすり抜けてますな。結構優秀。
同じく。thunderbirdの迷惑メールフィルタを素通りしてきました。タイトルにinvoice~とあったので「きたかー」と思いました。
うちにも12/8からいくつか来てるようだ。こっちでは全部スパムのフォルダにあった。
>ローカルのマカフィーEnt8.7.0iでZIPをファイルチェックしても引っかからない
http://blog.trendmicro.co.jp/archives/12713 [trendmicro.co.jp]
微妙に件名の文字列や数字列を変化させたり、添付ファイルのファイル名とハッシュ値を変化させたりしながら攻撃を継続しており、セキュリティベンダによる検出を逃れようとする様子が伺えます。
JScriptに加え、*.exeなマルウェアを配信元で微妙に更新しているケースも有ったりするする。
#とりあえずevalをWScript.Echoにでもすれば読めるふいんき
トレンドマイクロのみ検出してますねこっちもメールプロバイダ側でもトレンドマイクロのチェック入ってるはずですがそれはすり抜けてきてます
うちには、12月8日に .ar ドメインから初めてきているなぁ。今朝(12/15)のにも付いているようだ。linux 上の emacs で読んでいるし、英文メールは一切無視しているので全然気付かなかった。
こちらにもいくつも届いています。ウイルスチェックで弾かれるものもある一方、そのままInboxに入るものもあります。Linux上でのWEBからダウンロードしてみましたが、xxx.js と言うファイルでJAVAスクリプトを知らない私には中身は分かりませんでした。
先週から8通くらい来てます。 一応住所は書いてあるものの実在しない通りばかりです。
linuxも危ないんじゃなかった?
12/8から届いてましたが、・McAfeeのローカルスキャンはNG、メールサーバ上のMcAfeeウィルスチェックもNG ただし、12/12頃から検出できるようになった・Gmailのウィルスチェックは12/8時点で検出
McAfeeの信用度が落ちました、なんちゃって。
毎日数通届きますね。結構IPではじいてこれなので実際はもっと多いのかも。ちなみに、とある低価格レンタルサーバー屋さんは、「SPAM報告するならこちらの情報を送信元サーバーのレンタル者に流すので住所本名電話番号ちゃんと書かないと受け付けないよ」というすてきな注意事項が報告フォームのところに書かれていたので完全にブロックしました。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
昨日届いた (スコア:3, 参考になる)
会社のメールに届いてた
添付に[Invoice_9xxxxxx_scan.zip]
たぶんこれだろう
ゲートウェーのメールチェックをスルーし、ローカルのマカフィーEnt8.7.0iでZIPをファイルチェックしても引っかからない
Re:昨日届いた (スコア:2, おもしろおかしい)
そのZipファイルにJSだけ入ってるならば、このマルウェアですね。
で、ちょっとそのファイルを開いてみて、CrypTesla本体もローカルのマカフィーで検出しないかチェックしてみてくれる?w
#やるなよ。絶対にやるなよ。絶対だぞ。
Re:昨日届いた (スコア:3, 興味深い)
怖いので、オフラインのmac上で解凍してみた。
中身は50KBほどのJSファイルだけでした。
トレンドのブログの通り、難読化されてて、普通に中身を見ても意味不明でした。
Re:昨日届いた (スコア:1)
Re:昨日届いた (スコア:1)
さっき、似たような命名センスなzip添付メールを削除しましたけど、これでしたか。
ついでに、spamフィルタもすり抜けてますな。結構優秀。
Re: (スコア:0)
同じく。
thunderbirdの迷惑メールフィルタを素通りしてきました。
タイトルにinvoice~とあったので「きたかー」と思いました。
Re: (スコア:0)
うちにも12/8からいくつか来てるようだ。
こっちでは全部スパムのフォルダにあった。
Re: (スコア:0)
>ローカルのマカフィーEnt8.7.0iでZIPをファイルチェックしても引っかからない
http://blog.trendmicro.co.jp/archives/12713 [trendmicro.co.jp]
Re:昨日届いた (スコア:3)
JScriptに加え、*.exeなマルウェアを配信元で微妙に更新しているケースも有ったりするする。
#とりあえずevalをWScript.Echoにでもすれば読めるふいんき
Re: (スコア:0)
トレンドマイクロのみ検出してますねこっちも
メールプロバイダ側でもトレンドマイクロのチェック入ってるはずですがそれはすり抜けてきてます
Re: (スコア:0)
うちには、12月8日に .ar ドメインから初めてきているなぁ。今朝(12/15)のにも付いているようだ。
linux 上の emacs で読んでいるし、英文メールは一切無視しているので全然気付かなかった。
Re: (スコア:0)
こちらにもいくつも届いています。
ウイルスチェックで弾かれるものもある一方、そのままInboxに入るものもあります。
Linux上でのWEBからダウンロードしてみましたが、xxx.js と言うファイルで
JAVAスクリプトを知らない私には中身は分かりませんでした。
Re: (スコア:0)
先週から8通くらい来てます。 一応住所は書いてあるものの実在しない通りばかりです。
Re: (スコア:0)
linuxも危ないんじゃなかった?
Re: (スコア:0)
12/8から届いてましたが、
・McAfeeのローカルスキャンはNG、メールサーバ上のMcAfeeウィルスチェックもNG
ただし、12/12頃から検出できるようになった
・Gmailのウィルスチェックは12/8時点で検出
McAfeeの信用度が落ちました、なんちゃって。
Re: (スコア:0)
毎日数通届きますね。
結構IPではじいてこれなので実際はもっと多いのかも。
ちなみに、とある低価格レンタルサーバー屋さんは、
「SPAM報告するならこちらの情報を送信元サーバーのレンタル者に流すので住所本名電話番号ちゃんと書かないと受け付けないよ」
というすてきな注意事項が報告フォームのところに書かれていたので完全にブロックしました。