Video Screencast Help
Scheduled Maintenance: Symantec Connect is scheduled to be down Saturday, April 19 from 10am to 2pm Pacific Standard Time (GMT: 5pm to 9pm) for server migration and upgrades.
Please accept our apologies in advance for any inconvenience this might cause.

ケニアのテロ攻撃を悪用してマルウェアを拡散するスパマー

Created: 04 Oct 2013 06:11:39 GMT • Updated: 07 Nov 2013 03:15:33 GMT • Translations available: English
Ashish Diwakar's picture
0 0 Votes
Login to vote

現在、ケニアのテロ攻撃に関するニュースを悪用するスパムが増えています。スパマーがユーザーに送りつける電子メールメッセージは、あたかもテロ攻撃に関するニュースのように見えますが、実際にはマルウェアが含まれています。スパムメールのメッセージ本文には悪質な URL が含まれており、その URL をクリックすると、W32.Extrat をダウンロードする感染した Web ページにリダイレクトされます。

マルウェアが実行されると、以下のファイルが作成される可能性があります。

  • %Windir%\installdir\server.exe

これにより、攻撃者はユーザーのパスワードを盗み出して、重要なファイルやユーザーに関する情報にアクセスできるようになります。

Kenya.png

図. .exe ファイルをダウンロードするよう求めるスパムメールのスクリーンショット

この電子メールには「Click HERE to view & watch」というメッセージが書かれており、ウエストゲートモールで起きたテロ攻撃のビデオや画像を見るためにリンクをクリックするよう促しています。リンクをクリックすると、感染した Web ページが開き、Web ページが読み込まれると、「Kenya terror Video.exe」ファイルをダウンロードするよう求めるポップアップが表示されます。この実行可能バイナリファイルは W32.extrat という名前の一般的な形式のマルウェアです。ダウンロードすると、ユーザーのコンピュータ上の脆弱性が悪用される恐れがあります。スパマーは、このテロ攻撃に関する情報を探している大勢のユーザーを誘い込むための罠として、ビデオと画像が見られると謳っているのです。

このスパムメールでは、以下のような件名が使われています。

  • Official: Kenya mall attackers Video(公式: ケニアのモールで起きたテロ攻撃のビデオ)

このスパムメールに含まれる悪質な URL のサンプルを以下に示します。

  • http://[削除済み].[削除済み].com/u/210772057/Kenya terror Video.rar

シマンテックのエンドポイント保護テクノロジでは、この種の悪質なサイトがシマンテックにまだ報告されていない場合でも、サイトを予防的に検出し、特定することができます。シマンテックでは、ノートン アンチウイルスノートン インターネットセキュリティといった、ウイルス対策やスパム対策のテクノロジが組み込まれた製品によって、この種の攻撃からお客様を保護しています。

シマンテックは、この攻撃で使われているマルウェアを W32.Extrat として検出します。

悪質な攻撃を防ぐために、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • 疑わしい電子メールメッセージに含まれる添付ファイルを開いたり、リンクをクリックしたりしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • セキュリティソフトウェアを常に最新の状態に保つ。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。