Emotetに代わり11/3あたりから届き始めている #IcedID のこんな感じ。

■件名
Re:●●
FW:●●
（●●は実際の件名）

■本文
下図参照
（返信を装ってますが、実際の過去本文があるものは見ていません）

■添付ファイルhttps://t.co/vL5vQnDQzMhttps://t.co/dvfPzmKMNc
いずれもパスワード付きzip pic.twitter.com/IVH9YnO34R

— さとっぺ (@satontonton) 2020年11月5日

 最近Emotetがおとなしい代わりに、IcedIDと呼ばれるマルウェアの感染を狙ったメールが頻繁に届いているようです。添付のWordファイルを開いてマクロを有効化すると感染するとのことで、簡単にWordファイルを調査してみたのでメモを残します。

1. Wordファイルを開く
   

   

   Wordファイルを開くとこのような画面が表示され、日本語文で「コンテンツの有効化」をクリックするように誘導してきます。
   
   
2. 「コンテンツの有効化」をクリック
   

   

   「コンテンツの有効化」をクリックするとマクロが実行され、in.comなるプログラムが動いていることを確認できます。
   
   
3. 作成されたファイルを確認
   

   

   Tempフォルダにin.comとin.htmlという２つのファイルが作成されています。確認すると、in.comは、Windowsに標準で存在するmshta.exeのコピーでした。
   

   

   また、in.htmlはHTML Application（HTA）で、外部からIcedIDと呼ばれるマルウェアをダウンロードして実行するコードが書かれています。
   

   

4. 変更されたレジストリを確認
   

   

   3.のHTML Application（HTA）が実行されると、HKEY_CURRENT_USER\\Software\\mysoftware1\\key1
   のレジストリに書き込みが行われます。key1はすぐに削除されますが、mysoftware1は残ったままでした。
   
   
5. ダウンロードされたファイルと実行方法を確認
   

   

   3.のHTML Application（HTA）のコードを少し綺麗にすると画像のようになります。ダウンロードしたファイルは、Tempフォルダにtemp.tmpとして保存され、Windowsに標準で存在するregsvr32.exeを使って実行されることがわかります。
   
   

上記で簡単に挙動を記載してみました。いつまで同じ動作かは分かりませんが、

• Tempフォルダにin.com、in.html、temp.tmpといった名前のファイルが存在しないか
• Tempフォルダにmshta.exeのコピーが存在しないか
• HKEY_CURRENT_USER\\Software\\mysoftware1のレジストリが存在しないか

等々を調べてみると、感染有無を調べる際に役立つかもしれません。