内容

本メールは、セキュリティ強化のため、電子署名をつけてお送りしています。
~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~

2016年3月3日にお振り込みを受け付けいたしましたので、ご連絡いたします
（受付番号　20160303-002）。

• HTMLメールで、実体参照を用いて書かれている。なお、テキストパートも内容は同じく実体参照を使っているのでメーラーによってはカオスなことになる。
• Fromは日本ドメインのアドレスが使われている。
• 件名は必ずFwd:から始まる模様。
  • こちらに届いたメールの件名はそれぞれFwd: copy、Fwd: alert message、Fwd: Re:。
  • 中身が日本語ならSubjectにも日本語使うなりしろよな…と思っていたり。
• 添付ファイル名は20160302-002.xml.sig.zip。
  • 内容には20160302-002.xml.sig.xml.exeが含まれている。
  • 受付番号とファイル名が合わない…ｗ 昨日送信分のものをそのまま使ったのか？
• どこの銀行なのかは書いていない謎。

解析結果リンク

• VirusTotal
• Malwr

どうやらBeblohという、金融機関などのID/パスワードを収集するスパイウェアの模様。

蛇足

• あまり意味はないだろうけれどすべてspamcopで通報している。
• 一応シマンテックに検体提供してみるなどしたのは秘密。