Scanned Image from a Xerox WorkCentre ウィルスメールに気をつけろ!

先日以下のようなメールが届きました。

送信元は 【scan.974あっとysfarm.jp】 いかにも当社のプリンターから送信されたかのような怪しいメール。

ちなみに、当社ではこのようなメールアドレスも使用していませんし、ゼロックスの複合機も使用しておりません。

 

怪しいメールに添付ファイルがついています。

 

最近の複合機ではスキャンした結果をメールで送信するという機能がついていますが、この機能を悪用したウィルスメールです。

 

試しに添付ファイルを解凍してみました。

みごとにアイコンも偽装されていていかにもPDFですみたいな顔していますが、拡張子は 【.scr】になっています。

拡張子とは、このファイルはどんな種類のファイルなのか識別するためにつけられた記号です。

pdfなら 【.pdf】
エクセルなら 【.xls】もしくは【.xlsx】
ワードなら 【.doc】もしくは【docx】
となっています。

 

最近のwindowsでは何も設定しなければ拡張子は表示されないようになっていますが、このような偽装ファイルの時に判断できないのでできれば拡張は表示する設定にしてもらったほうがいいと思います。

もちろん、拡張子の種類についてはユーザーが理解していることが前提になってしまいますが。

 

 

さて、この怪しいファイルダブルクリックするとどうなるのでしょうか?

通常、【.pdf】のファイルであればアクロバットリーダーが立ち上がってpdfファイルを閲覧できるのでしょうが、このファイルの場合、拡張子が 【.src】 となっているので、プログラムを実行されてしまいます。

【.scr】はwindowsのスクリーンセーバーの拡張子ですが、中身は普通の実行型ファイルです。

 

今回このファイルをデスクトップに置いただけではウィルス対策ソフトは反応しませんでした。

もしかしたら、実行しても何も言われないかもしれません、理由としては、ウィルス対策ソフトで検知できない新種のウィルスである、もしくは私の思い違いで無害なファイルなのかもしれない。

後者については、たとえ無害であっても自分の意図しない実行ファイルを動かすのは気持ちが悪いので当然動かしませんが、前者の場合はそら恐ろしい話です。

 

感染した場合、PCを乗っ取られる恐れもありますし、過去の記事では同様のウィルスで以下のような事例もあったようです。

 

メールの件名は「Scanned Image from a Xerox WorkCentre」で、添付されたウイルスは「PWS:Win32/Fareit.A」「TROJ_FAREIT.AB」「Generic PWS.y!dts」などの名称で呼ばれるトロイの木馬だった。感染するとコンピュータから情報を盗み出して外部に送信する。

 

また、他の記事では、ブログに勝手に投稿されて拡散される例もあるようです。

 

なんにしても、同じ手口同じウィルスでも亜種がたくさんあります。

ウィルス対策ソフトで対応できないパターンもたくさんあるので

ウィルス対策ソフトを入れているからといって過剰な信用はしないでください。

 

最終的に防衛するのは自分自身です。

 

ワイズファーム
http://www.ysfarm.jp/

 

Follow me!