◎10/9
件名:Invoice IP数字7桁
本文:
Please find Invoice IP数字7桁 attached.
添付ファイル:IP数字7桁.7z
7zファイルの中身は、Invoice IP別の数字7桁.vbs
◎10/9
件名:Your Remittance Advice
From:accounts <accounts@適当なドメイン>
本文:
Please find attached.
Kind regards
Accounts Dept
SAVE PAPER – THINK BEFORE YOU PRINT!
This E-mail is confidential
It also may be legally privileged. If you are not the addressee you may not copy, forward, dislose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return E-mail.
Internet communications cannot be guaranteed to be timely secure, error or virus-free. The sender does not accept liability for any errors or ommisions.
添付ファイル:数字4桁 Remittance.7z
そして
Content-Transfer-Encoding: quoted-printable
と、base64になっていないため、保存しても7zファイル形式ではなく
それをbase64エンコードしたファイル(要はメールソースのまま)が保存されてしまいます。
というところまで、10/6のメールと一致します。
しかしデコードして調べてみると、中身が違いました。
C:\1009YourRemitance>certutil -decode "0764 Remittance.7z" 0764.7z
入力長 = 3999
出力長 = 2918
CertUtil: -decode コマンドは正常に完了しました。2017/10/09 22:40 3,999 0764 Remittance.7z
2017/10/09 22:43 2,918 0764.7z
この0764.7zの中身は、
Invoice IP7331307.vbs
でした。
◎10/6
件名:Your Remittance Advice
From:accounts <accounts@適当なドメイン>
本文:
Please find attached.
Kind regards
Accounts Dept
SAVE PAPER – THINK BEFORE YOU PRINT!
This E-mail is confidential
It also may be legally privileged. If you are not the addressee you may not copy, forward, dislose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return E-mail.
Internet communications cannot be guaranteed to be timely secure, error or virus-free. The sender does not accept liability for any errors or ommisions.
添付ファイル:数字4~6桁 Remittance.7z
ところが、
Content-Transfer-Encoding: quoted-printable
と、base64になっていないため、保存しても7zファイル形式ではなく
それをbase64エンコードしたファイル(要はメールソースのまま)が保存されてしまいます。
certutil -decodeコマンドで復元してみました。
2017/10/06 21:15 3,972 4249 Remittance.7z
2017/10/06 21:15 3,976 609885 Remittance.7z
2017/10/06 21:15 3,972 6254 Remittance.7z
3 個のファイル 11,920 バイト
C:\1006YourRemittance>certutil -decode "4249 Remittance.7z" 4249.7z
入力長 = 3972
出力長 = 2898
CertUtil: -decode コマンドは正常に完了しました。
C:\1006YourRemittance>certutil -decode "609885 Remittance.7z" 609885.7z
入力長 = 3976
出力長 = 2901
CertUtil: -decode コマンドは正常に完了しました。
C:\1006YourRemittance>certutil -decode "6254 Remittance.7z" 6254.7z
入力長 = 3972
出力長 = 2898
CertUtil: -decode コマンドは正常に完了しました。
2017/10/06 21:15 3,972 4249 Remittance.7z
2017/10/06 21:18 2,898 4249.7z
2017/10/06 21:15 3,976 609885 Remittance.7z
2017/10/06 21:19 2,901 609885.7z
2017/10/06 21:15 3,972 6254 Remittance.7z
2017/10/06 21:19 2,898 6254.7z
復元した7zファイルの中身は、数字5~6桁 Remittance.vbs でした。
7zは3つありましたが、中身は一つ重複して2種類
さらに3通追加。base64記述がないのは変わりません。
さらに1通追加。デコードがエラーになったので保存された添付ファイルと、メールのソースを比較すると、末尾のパディング文字の「=」が2文字だったものが、保存すると1文字に減っていました。(これまでのメールはたまたまパディング文字なし)
テキストエディタで、末尾の「=」を「==」に修正してデコード。
C:\1006YourRemittance>certutil -decode "8818 Remittance.7z" 8818.7z
DecodeFile は データが無効です。 0x8007000d (WIN32: 13 ERROR_INVALID_DATA) を返しました
CertUtil: -decode コマンド エラーです: 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)
CertUtil: データが無効です。C:\1006YourRemittance>certutil -decode "8818 Remittance.7z" 8818.7z
入力長 = 3979
出力長 = 2902
CertUtil: -decode コマンドは正常に完了しました。C:\1006YourRemittance>
7zファイルの中身は、54927 Remittance.vbsでした。
◎10/6(ただの詐欺メール)
From:合同民訴管理局[JPN branch office.] <info@9ymo8c56ma8w.site>
本文:
配達記録:数字7桁
(訴訟開始通知) Web Service利用料未納超過における差押通告(通知人・WEB Payments顧問弁護団)
-本状は、Google株式会社を主導とする複数社による合同民事訴訟案件となります-※申立ての趣旨
債権者が債務者に対して有する債権の執行を保全するため、債権額に満つるまで債務者所有の全財産(今後支払われる給与含む)を仮に差し押さえる。本通知受信後、24時間以上対応を放置した場合、未納料金(798,500円)全額分差押処分と致します故、ご了承下さい。
尚、本案内に沿って電子取引契約上にて定められる【合意特約解除】を行なって頂ければ、未納料金の支払いを免除する事が可能ですので、ご安心下さいませ。
現在貴殿[メールアドレス@ezweb.ne.jp]においては、WEB上のコンテンツ提供Serviceに登録をされ、2週間の無料期間中に正規の解約処理を行わなかったために、サイト継続の利用意思があるとみなされ、月額の情報サイトの利用料金、並びにサポート費用等が発生し、現時点で未払いの状態になっており、滞納金として【798,500円】の支払義務が課せられております。この度Service管理元から、貴殿が本状にて速やかに解約の処理を行った場合は、現在発生してる滞納金を全額免除にし、訴訟等を取り下げると言うことで依頼を承っております。
こちらの和解案[合意特約解除]について下記手順にそってご対応をお願い致します。
↓申請の手続き方法↓
継続利用の意思が無く未納分の支払い免除措置を希望する場合は、本状を閲覧後、本メールに「合意解除申請」と記入の上そのままご返信下さい。申請受付後、貴殿の本人確認を行い、貴殿より電子上の署名を頂いた上で、合意契約により請求元との和解および円満解約が実行されます。
※必ず本状が受信されたアドレスからご返信下さい。
その他のアドレスからではご本人確認が取れず申請が無効となります。
●よくあるご質問●
Q. どうして自分のメールアドレスを知っているのか?
A. 貴殿が利用する通信事業者に情報開示要求を行って取得しています。Q. 他にも自分の個人情報を知っているのか?
A. 今後、貴殿が何らかの 異議申し立てを行わない場合、 身元調査により取得した情報を 保有することになります。身元調査により得られた貴殿に関する情報は、 インターネット上に誰でも見れる状態にした上で、 損害賠償請求権実行などの法的手続きをとります。Q. 未納分は支払いをしないといけないのか?
A. 支払い能力がある場合は そのまま手続きに進んで頂く形が最も簡潔かつ確実な方法となります。
ですが事情により対応が難しい場合、 和解の意思を本状から示して頂ければ穏便に解決ができます。
本通知はその為の通知であり、 貴殿の意思の表明は当方にて対応致します。Q. いつまでに意思を表明すれば良いのか?
A. 本メール受信後、 24時間以内に必ず連絡を行ってください。Q. 知らない、身に覚えがないのだが?
A. サービス管理元から引き受けた案件を調査した上で通知しています。
既に貴殿には催告通知を過去数回行っておりますが何らの意思確認が取れておらず、また信用情報機関へ登録がある為、 身に覚えがない等と無視を続けられた場合、 貴殿の財産に不利益が発生します。
嘘をついたり、しらを切ったりした場合、より悪質な利用者だと判断され損害賠償が上乗せされる場合もあります。Q. このまま無視するとどうなるのか?
A. 連絡がない場合は、世帯主、 勤務先、親族、知人の順に調査をかけ請求を行います。
貴殿が逃亡する可能性のある実家、 勤務先、友人知人宅等に優先的に 書面通達を実施し、貴殿の代わりに取り立てを行います。
うそんこ文書ですが、おもしろいですね。
ただし文体の不統一感は中学生以下。日本語を推敲する必要があります。
◎10/5
件名:【NTT-X Store】商品発送のお知らせ
From:tsuhan@nttxstore.jp <tsuhan@nttxstore.jp> (を偽装)
本文:
注文番号X170516-8507943-0
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎本メールは発送時に、自動送信されております。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
毎度ありがとうございます。「NTT-X Store」です。
ご注文頂いております商品を発送させていただきましたのでご報告申し上げます。
詳しくはこちら<URLリンク>
商品コード EI10471082型番 SA5-271-F58U/F
商品名 SA5-271-F58U/F (i5/W10H64/H&Bprem/シルバー)
JANコード 4514056094034
出荷数 1
出荷日 2017/10/05
運送便 佐川急便EDI
送り状No 566924197003
【配送確認サービス】下より送り状番号から配達状況・お問い合わせ先をお調べ頂けます。
荷物URL: 詳しくはこちら<URLリンク>
なお、運送会社都合によりご指定の着日・時間帯にお届けできない場合がござい
ます。配送状況につきましては当店または運送会社に直接お問い合わせ下さい。
【販売店印について】保証書の販売店欄は未記入となっております。
出荷時に商品と同梱しております「納品書」を販売店印とさせていただきます。
「納品書」は商品と同梱もしくは、運送会社送り状下のシート内に
封入しております。同梱されていない場合はお手数ですがご連絡下さいます
様お願い申し上げます。
尚、製品によっては、保証書が同梱されておりません。その場合は「納品書」が当店での購入証明書となりますので、
大切に保管頂きますようお願い申し上げます 。
【領収書発行をご依頼いただいたお客様へ】(1)お支払い方法:銀行振込・クレジットカード のお客様
当店Webサイト上からpdf形式で発行・ダウンロードできます。
ご注文時の購入状況(会員購入・ゲスト購入)により、申請~発行方法が
異なりますのでご注意下さい。
※領収書の発行について → 詳しくはこちら<URLリンク>
(2)お支払い方法:代引き(佐川e-コレクト) のお客様商品の運送便送り状の一部が領収書になっています。当店発行のものを
ご希望の場合はそちらをご返送いただければ差し替えで発行いたします。
※送付先住所はこちら → 詳しくはこちら<URLリンク>
ご利用ありがとうございました。またのご利用、心よりお待ち申し上げております。
―――――――――――――――――――――――――――NTT-X Store ttp://nttxstore.jp/
TEL:0120-006327 (携帯電話からは 03-5746-8478)平日10:00~19:00 土日祝日10:00~18:00
MAIL: tsuhan@nttxstore.jp ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
添付ファイル:(なし)
長いURLのzipファイル
ダウンロードできたTGEH38N7722H3ETT.zipの中身は、
支払い情報をチェック.DOC.js
これは10/5のAdobe偽装と同一
