危険が危ない!
(ヒィィ…)
朝起きてメールを確認したら
|
拝啓 |
こんな内容のメールが…
今は韓国に戻っていますが2014年日本から韓国に帰国するさい国際郵便を利用したことがあったのですが
その時に発生した問題がいまさら!?っていう感じで少し驚きましたねー
でもその時の荷物はちゃんと全部届いたわけでもう2年も前のことだから普通に考えれば…笑
まーここは騙されたと思って進んでみましょう
日本郵便個別番号の追跡 URL : https://trackings.post.japanpost.jp/services/srv/search/input
|
STEP 01. まず、郵便番号の確認 |
< Fig 1-1.日本郵便サイトからの郵便番号の追跡画面 >
すでに例に書いてある国際郵便物番号の形式と少し違うのですが…
まー一応、こんな感じで入力して追跡スタート!!
< Fig 1-2. 郵便番号の追跡結果の画面 >
やはりないですよねー
では、先のメールにあった怪しい添付ファイル確認してみましょう
( 興味がない方はSTEP 04へ )
|
STEP 02. 添付ファイルは一体? |
< Fig 2-1.メールに添付されたファイル >
ここからはパソコンが壊れる可能性があるため絶対真似しないでください
まず、添付ファイルをダウンロードしZIPファイルを解凍しました
すると
< Fig 2-2.添付されたファイル(ZIP)を解凍した結果 >
このようなファイルが…
このファイルの中身を確認すると
< Fig 2-3.悪性スクリプトの中身(1) >
こんな感じの内容が…
でも、これだけだと怪しいとは思えるのですがウィルス類とは少し見え難いですねー
少しスクロールを下ろすと
< Fig 2-4.悪性スクリプトの中身(2) >
赤い部分のコードところのあれが悪性スクリプトと推測されるものです。
暗号化されているため一般的には見れないですが
これを解読すると
< Fig 2-5. 悪性スクリプトの中身を解読した後のスクリプト >
こんな感じで
あるサイトにアクセス(open)しダウンロード(SaveToFile)し起動(Exec)
こんな感じで作動します
ではダウンロードしたファイルが起動したら一体?
|
STEP 03. スクリプトによってダウンロードされたファイルは一体? |
結論からいいますと残念ながら「URLが切れていたのでこれ以上は分析できません」でした(T-T)
これから分析の過程を簡略的に話しますと
すでにあのサイトがハッキングされてる可能性があるので正常な方法であのサイトにアクセスするのはとても危険です。
サイトにアクセスしただけでウィルスに感染される恐れがあるため
ここは他の方法でアクセスする必要があります。
< Fig 3-1. 悪性コードと推測されるファイルのダウンロード >
さあーこれでスクリプトの中身にあったダウンロードしようとしたファイルをダウンロードしました
では、中身を少しだけ覗いてましょう
< Fig 3-2. 悪性コードの中身 >
< Fig 3-3. 悪性コードのURLからまたファイルのダウンロード >
あるURLからファイルをダウンロードしまた起動しようとするのですが
この先はURLのアクセスできなかったため分析できませんでした
|
STEP 04. 安全策は? |
* 信用できない、知らない相手からのメールは開けないまた添付されたファイル等はダウンロード禁止
* 郵便番号とかの情報が書いてる場合、サイトのサービスから検索&確認するか直接電話して確認
* 周りにパソコンに関して詳しい人に聞いてみる
くらいでしょうか
|
STEP 05. あとがき (?) |
探してみたら
発表日:2015年12月18日
タイトル:日本郵政を装った迷惑メールについて
http://www.japanpost.jp/information/2015/20151218114836.html
すでに日本郵政からも載っていました笑
最近、多いですよね、こういうの
さて、つまらない文を読んでいただきありがとうございます!
みんな気をつけましょう!