【Dr.WEB】Amazonからのメールを装って拡散されるトロイの木馬

Eメールによるマルウェアの拡散は、犯罪者によって最もよく使用される手法の1つです。Doctor Webでは、危険なトロイの木馬を含んだEメールの大量送信が2014年6月26~27日に確認され、それらはAmazonからのメールを装ったものでした。

6月26日を境に、多くのユーザーがAmazonからの注文確認メールを装った偽のメールを受け取るようになりました。このメールには、注文の詳細を確認するために添付のファイルを開くよう記載されています。メッセージは英語で書かれ、現在知られている限り、注文日と番号を除いてすべて同じ文面になっています。

Hi,
Thank you for your order. We'll let you know once your item(s) have dispatched. You can view the status of your order or make changes to it by visiting Your Orders on Amazon.com.

添付されているZIPアーカイブには、ウイルス開発者らによってSmoke Loaderと呼ばれているBackDoor.Tishop.122マルウェアの実行ファイルが含まれています。このトロイの木馬は感染させたコンピューター上に悪意のある別のソフトウェアをダウンロードすることで、アンチウイルスによって保護されていないシステムをマルウェアの巣窟へと変化させます。BackDoor.Tishop.122は起動されると、サンドボックスまたは仮想マシンの存在を確認するためにスキャンを開始し、ハードディスク上のフォルダに自身のコピーを作成します。続けて、自動実行に関与するWindowsレジストリブランチ内に自身を登録し、複数のシステムプロセスに自身のコードを挿入します。さらに、システムがインターネットに接続されている場合は、悪意のある他のプログラムのダウンロードと起動を試みます。

実際に商品を購入していない限り、注文内容の詳細を記載したファイルの添付された、未知の送信者からのEメールを開かないよう十分に注意することが推奨されます。そのようなメールはすぐに削除するようにしてください。BackDoor.Tishop.122はDr.Webアンチウイルスソフトウェアによって検出されるため、Doctor Webのユーザーに危害が及ぶことはありません。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=750&lng=ja&c=2