ボットなどをメールで撒き散らす攻撃者は,あの手この手で添付ファイルを開かせようとする(関連記事)。今回警告されているメールも,本文を“工夫”することで,受信者が思わず開いてしまうように仕向けている。

 出回っているメールの一例は,「1月25日に大学の敷地内で犯罪が発生した。監視カメラに犯人が映っている。メールに添付された写真を見て,犯人に心当たりがあれば当局まで連絡してほしい」といったもの。

 しかしながらメールの内容は虚偽であり,実際に添付されているのはボットの一種である。Sophosでは同ボットを「Troj/Stinx-N」と名付けている。同ボットは,ファイル名が「Suspects Photo.exe」や「suspect image.exe」,「CCTVstill.exe」などの実行形式ファイル。

 メールの内容を信用してファイルを開くと,ボットがパソコン上で動作し始めて,そのパソコンを攻撃者に乗っ取られてしまう。実行中のウイルス対策ソフトを停止したり,特定のWebサイトから悪意のあるプログラムをダウンロードして実行したりする機能も備える。

 なおSANS Instituteによれば,ボットを含む圧縮ファイル(アーカイブ)が添付されている場合もあるという。

 Sophosによれば,同メールは主に米国と英国の大学のアドレスあてに送られているという。主なターゲットは大学生のようだ。ただし攻撃者にはそれほどのこだわりはない模様で,大学以外のアドレスへも送られている。

◎参考資料
Another day, another bot being spammed(米SANS Institute)
Spammed Trojan horse poses as CCTV picture of campus rapist(英Sophos)