FedEx を騙ったメールの添付ファイルはウイルス、G DATA が警告

G DATA は2008年8月22日、FedEx を騙ったメールが出回っていると警告を発した。同メールは英文で書かれており、添付されている圧縮ファイルを解凍し、実行するとマルウェアに感染してしまう。

同社の発表によると、メールは以下のような形で送られてくるという。

Subject:　FedEx Tracking N 0807663630
Date: Tue, 19 Aug 2008 20:43:01 +0000
（From、Reply-To、To: は省略）

Unfortunately we were not able to deliver postal package you sent on July the 25 in time because the recipient’s address is not correct.Please print out the invoice copy attached and collect the package at our office.

Your FEDEX

メールに添付されている圧縮ファイルは ZIP 形式。解凍するとワードファイルを偽装した実行形式ファイルが現れ、ダブルクリックするとエラーメッセージが表示される。このとき、マルウェアは、「ntos.exe」をコンピュータのCドライブにコピーし活動を開始する。

また、マルウェアの活動プロセスは、「explorer.exe」に統合されており、タスクマネージャによる確認もできないように工夫されているという。

さらに、ルートキットによって不可視になっている「waspoem」というフォルダに個人情報を盗み出す「video.dll」「audio.dll」というファイルが作成され、ここで収集された情報をロシアまたはウクライナにあるネット犯罪者のサーバーに送信する。

同社は、ヨーロッパでは8月に入ってから類似した攻撃パターンを持つスパムが多く発生ししたとしており、今週に入ってから日本で発見されたとしている。また、「今後同種のもののみならず亜種も含めて多発するおそれがある」と注意を促している。