PR

 さらに別のスパムメールに添付されていたZipファイルを開いてみました。Zipファイルは、Ubuntuでは既定設定で「アーカイブマネージャー」に関連付けられています。ここでもそれを用いて開きます。

[画像のクリックで拡大表示]

 すると展開したファイルの中に「KVC_29914247426_212806.wsf」という「WSF」(Windows Scripting File)形式のファイルが見つかりました。

[画像のクリックで拡大表示]

 これをダブルクリックするとFirefoxが起動し、XMLパースエラー(構文エラー)が表示されて停止しました。

[画像のクリックで拡大表示]

 テキストエディタの「gedit」でファイルを開いて調べると、スクリプトを取得して実行するための接続先URLが記述してあることが分かりました。

[画像のクリックで拡大表示]

 このファイルはClamAVでスキャンしても「OK」となり、マルウエアは検知されませんでした。

[画像のクリックで拡大表示]

 しかし、ファイルをオンラインスキャンしてくれるサイト「VirusTotal」で調べると、このファイルにはほかのマルウエアをダウンロードする機能を持つトロイの木馬型のマルウエアが仕掛けられていることが分かります。

[画像のクリックで拡大表示]