件名：注文請書・

From：ローカル名＠日本のプロバイダドメインを偽装

本文：

※【注】請求書の画面表示をされましたら必ず印刷もしくはデータ保存をお願い
致します。

ご不明な点等ございましたら下記までお問合せ下さい。
今後とも宜しくお願い申し上げます。

 

※【注】請求書の画面表示をされましたら必ず印刷もしくはデータ保存をお願い

致します。

 

ご不明な点等ございましたら下記までお問合せ下さい。

今後とも宜しくお願い申し上げます。

－－－－－－－－－－－－－－－－－－－－－－－－－

5/8のメールと類似していますが、

MIME記述のalternativeがそもそもなく、

テキストパート、HTMLパート、エンコードした添付ファイルの３パートをmixedで囲むダメな構造です。

添付ファイル：5.2018.数字2桁.(メールアドレスローカル部).xls

https://www.virustotal.com/#/file/d36d54919d143300a2b52252e7dd38fa4eb26bb958b7121c83edc9b14f235584/detection

virustotalでは検査したファイル名は公開されますからファイル名を公開したくない場合は、リネームしてから検査するか、

ローカルのWindowsで

certutil -hashfile 対象ファイル SHA256

とハッシュ値を得ます。

Windows10での例：

# certutil -hashfile "5.2018.92.(MAILADDR_LOCALPART)-78.xls" SHA256
SHA256 ハッシュ (対象 5.2018.92.(MAILADDR_LOCALPART)-78.xls):
d36d54919d143300a2b52252e7dd38fa4eb26bb958b7121c83edc9b14f235584
CertUtil: -hashfile コマンドは正常に完了しました。

#

得られた値

「d36d54919d143300a2b52252e7dd38fa4eb26bb958b7121c83edc9b14f235584」

(Windows7の場合はスペースが入るので、編集して省く)

をsearchタブで検索します。

https://www.virustotal.com/#/home/search

ここで見つからない場合でも、単に既存のアップロード検査がないというだけで、マルウェアに変わりありません。