読者です 読者をやめる 読者になる 読者になる

迷惑メールの中身を見てみたお話

某所から怪しい添付ファイル付きの迷惑メールが降ってまいりました。

中身が気になったのですが、さすがに実行する勇気がない。という事で恐る恐るできるところまで分解してみました。

 

メールの添付ファイルは適当な名前のZipファイルひとつ。ネットワークから切断して仮想環境上でチェックしてみましたがとりあえずセーフっぽい(Windows Defenderで、ですが…)。添付ファイルを展開するとdocxファイルが一つ入っていました。ついこの間ゼロデイ攻撃の話があったのでWordで開くのは気が引けます。docxをWordで読み込まない方法でさらに分解してみるとJavaScriptソースコードが保存されていました。それをテキストエディタで開いてみます。

 

f:id:nitteru:20170413194227j:plain

 

ぱっとみ分からないような難読化がされていました。とは言えエンコーディングや高度な難読化がされているようでもなく、あちこちreplaceがついているのが丸見えな事からいわゆる「たぬき言葉」の類だと考えられます。これぐらいだとテキストエディタで置換えすることで復元できますので切られている文字列をつないで置換えてみます。ある正規表現で特定できる文字を削除するだけでした。図中では消しています。

 

出てきたのはコマンドプロンプトPowerShellで実行ファイルを表面から見えないようにあるURLからダウンロードするコマンドとProgram Filesのパスが格納されているレジストリへのパスらしき文字列でした。思うにProgram Filesフォルダに実行ファイルを投げ込んで実行し、感染する類のものだと思います。残念なことにJavaScriptは組んだことがないのと実行させるわけにも行かないので調べるのはこの辺が限界でした。

 

メールからして怪しさ満点だったので今回はちょっと遊ぶつもりで済みましたが、ウイルスやマルウェア感染には気をつけたいものです。