2015年12月頃より、日本語のスパムメールを複数見かけました。ここではそれらスパムメールについてまとめます。
スパムメールの種類(件名・送信元)
2015年12月に確認したもの
| No | 偽装元 | 送信元ドメイン | 件名 | 添付ファイル |
|---|---|---|---|---|
| 1 | DHL | rambler.ru | 配達業者はお電話を差し上げることはできません。 Hello, Out courier was not able to contact you |
DHL___[数字].z DHL_[数字].zip DHL_[数字].z dhl_contact[数字].z |
| 2 | UPS | rambler.ru | 無し | contact_[数字].zip |
| 3 | EMS | rambler.ru | EMS TR-ES[数字] | EMS [数字]@noreply PDF.Z |
| 4 | 日本郵便 | yahoo.com? rambler.ru |
番号[数字]の下で小包の配達 | JapanPost [数字] PDF.Z |
| 5 | すえなが会計事務所 | N/A | N/A | N/A |
| 6 | 税務署 | rambler.ru | 税務署から[5桁数字] | N/A |
| 7 | 税務署? | rambler.ru | 負債通知 [数字] | N/A |
2016年1月に確認したもの
| No | 偽装元 | 送信元ドメイン | 件名 | 添付ファイル |
|---|---|---|---|---|
| 1 | N/A | N/A | N/A | 宅配番号 4663126371_ESuFDP.EXE |
| 2 | EMS | rambler.ru | 無し | 宅配番号_[数字]_EMS [数字].zip 宅配番号_06012015_EMS_RDEMSRCS.PDF(RLO使用) |
| 3 | EMS | rambler.ru | 配達業者はお電話を差し上げることはできません。 | EMS_[数字].zip EMS の小包が受信されません STFDP.SCR(RLO使用) |
| 4 | EMS | rambler.ru | 無し | EMS_1302015_35143.zip EMS-日本トラック - 小包がない配信します AT[数字]FDP.SCR(RLO使用) |
| 5 | UPS | rambler.ru | N/A | ケース番号_[数字].zip ケース番号_554866661TFDP.SCR(RLO使用) |
| 6 | 全国健康保険協会 | rambler.ru | 無し | 定員削減の命令書_[数字].zip 定員削減の命令書_[数字]TRSFDP.SCR(RLO あり) |
マルウェア(サンプル)
主に次の種類が確認されている。(他にも複数のマルウェアが確認されている模様)
解析記事
2015年12月
| No | ハッシュ(MD5) | 検出名 |
|---|---|---|
| 1 | 3963876FB576D4AB9C810D368FEA61BA (invoice.exe:98C6B95499E3C78AC761E4E4CDC1BA09) |
Rovnix |
| 〃 | 71F8B5D48B0E91146951F8B4345C5170 (howto.exe:DE195F85455E809C0CABC31BFED25950) |
Rovnix |
| 1? | 072237c0f589269ba5cc0cb2238725dd | Rovnix |
| 1? | 19a24df1db46d562d7e1551d4ed0be04 | Rovnix |
| 1? | c9fff14ddf2104502ec0a7810b13f728 | Rovnix? |
| 1? | 3ffca92c8aa06be7e2a0d14f08cb020e | Rovnix? |
| 3 | 4ADC7967BED2C527E98F9E724A18B91B (work.exe:318697E1683A28AC0E79FD8BF3C6C5EB) |
Rovnix? |
| 4 | 6491A2BCF7DD4CCA5445289C26FDAF4F (work.exe:DFEF2E66CE573D8F0C97347A758695FB) |
Rovnix? |
2016年1月
| No | ハッシュ(MD5) | 検出名 |
|---|---|---|
| 1 | 04741D2FE07A12AF4F67359B06323128 (two.exe:02F12EE23202457040B1D972773EF18A) |
Dofoil |
| 2 | 6304AC088AD4FEFD1C00D49F62BF852E (sel77.exe:86FBC789FE9F0CFD94F4CA64815CC113) |
Dofoil |
| 3 | B8B1D45EADA01FB29C86C43E58093E68 (112.exe:5D075617E8A9B7F4DA6E4529F2160912) |
Rovnix? |
| 4 | 9293F0E8713A366CB2DD8DF74D61F36E (fff.exe:4394DDC1B24159B1DB0E17EF30CC6402) |
CrytpoWall 4.0 |
| 5 | f37e4bf150d03f9d8023c504920ab932 (1.exe:8b8b6818b25e235a8c207c507f9b338c) |
N/A |
| 6 | 85D5D12EE1A8F1124296F24D9FE1A74E (doc.exe:0A94F12C6CB02FA9C018EEE340216AC0) |
N/A |
2016年2月
| No | ハッシュ(MD5) | 検出名 |
|---|---|---|
| 1 | 5EE68F4C62AC298CEC73DAE1A01157BE (invoice 0000102.exe:CC5A97E3CCD9944A9872F6F842FA3073) |
Dofoil |
| 2 | f37ee38de3d641d9c99842704f8ad1e1(Pawxnic) (ems_02162016_jp.exe:8b3c6a8937a124c6c21ccf779256db3b) |
Rovnix |
参考
- DHL, EMS, JapanPostを装った「ばらまき型」メール調査メモ | (n)inja csirt
- EMSを装った「ばらまき型」メール調査メモ2016 CryptWall版 | (n)inja csirt
- EMSを装った「ばらまき型」メール調査メモ2016 | (n)inja csirt
- 「健康保険 傷病手当 支給申請書」を装った「ばらまき型」メール調査メモ | (n)inja csirt
- 「裁判所への通知」を装った「ばらまき型」メール調査メモ | (n)inja csirt
