最近、rambler.ru(英語力0の私は勝手に「ランバ・ラル」と呼んでます)というドメインのメールアドレスから、アホみたいに繰り返し繰り返しspamメールが飛んできているようです。
件名は日本語ですが、なんだかGoogle翻訳あたりで直訳したようなびみょ~な日本語。
送信元のメールアドレスの表示名も半角カナだったり、そもそも日本語出なかったりして、メールアドレス自体もランダム生成っぽい胡散臭いもの。
そんな胡散臭いメールの添付ファイルにある「Invoice~」というZIPファイルの中に含まれるjs(JavaScript)ファイルを実行してしまうと、某vvvウイルスに感染するというパターンが増えているようです。
※jsファイル自体は難読化されたJavascriptで、いわゆるドロッパーのようです。
このrambler.ru(ランブレルと読むらしい)のドメインは、どうやらロシアの大手フリーメールサービスのようですね。
まあ、普通に考えてロシアからフリーメールなんか使って自分宛てにInvoice(送り状)なんて来るはずもないし、そもそもロシアから何か送られてくることに見覚えもないし...ということで、通常何も考えずにポイすべきものですが、そういうお仕事をされていたら引っかかる人もいるかも知れません...あるいは。
メールアドレスのドメインを気にすることや、できればRecievedヘッダーを見て、変なとこから来てないか確認するくらいのことはしたいものですが、一般の方にはそれも敷居が高いといえます。
結局、いつぞやも書きましたが、Invoiceなんたらというのは、心の中でNGワードとしておいたほうがいいかなと。
いやまあ、私と違って英語でやり取りしている人にとっては必要なのかも知れませんけど...。うーむ。
ちなみにFFRIさんはYaraiでvvvウイルスを防げた!って言ってました。
マルウェアが落ちてきた時に、それをフック出来る感じかなと思います。
こういう時、振る舞い型検知の威力を発揮しますよね。個人的に誤検知が多い気がするのがこの方式の難点ではありますが...。
コメント