今回は、とあるスパムメールに添付されていた怪しい「.docm」形式のファイルを開いてみます。同形式は、マクロ機能が有効なMicrosoft Word文書の保存に使われます。同形式のファイルは、Ubuntuではワープロソフトの「LibreOffice Writer」(以下、Writer)に関連付けられており、添付ファイルをダブルクリックするとWriterが起動します。
Writerを起動すると、マクロを実行できない旨の通知が表示されます。
[画像のクリックで拡大表示]
文書の内容は表示されず、白紙状態になりました。
[画像のクリックで拡大表示]
マクロ作成・編集用のツールである「LibreOffice Basic」でマクロを確認すると、この文書にはいろいろなマクロが仕掛けられていることが分かります。
[画像のクリックで拡大表示]
念のため、ウイルス検知ソフトの「ClamAV」をインストールしてスキャンすると、この添付ファイルには「Doc.Dropper.Agent」というマルウエアが見つかりました。
[画像のクリックで拡大表示]
セキュリティソフトベンダーが提供する情報を調べると、このマルウエアは「Troj/Dropper-K」と呼ばれることもあるWindowsにのみ感染するトロイの木馬で、ほかのマルウエアをダウンロードする機能を持つものだと分かります。
[画像のクリックで拡大表示]
