![「出書([日付])野田.zip」調査メモ](http://csirt.ninja/wp-content/uploads/2016/06/04.png)
【メール基本情報】
|
項番1
|
||
|
項目名
|
内容
|
備考
|
| 送信元アドレスドメイン | t-online.de | 送信者の名前としては以下の2つを確認 JE IS JE ISJP |
| 件名 | (なし) | |
| 本文 | お疲れ様です。/ 年休申請書(健康診断)をお送りします。 宜しくお願い致します。 ________________________________________ (株)ジェイアール東日本情報システム 大宮支店 ヘルプデスク 野田 卓也 NTT xxx-xxx-xxxx JR xxx-xxxx |
xは数字 |
| 添付ファイル名 | 出書(6月2日)野田.zip | |
|
項番2
|
||
| 項目名 | 内容 | 備考 |
| 送信元アドレスドメイン | 不明 | |
| 件名 | 不明 | |
| 本文 | 不明 | |
| 添付ファイル名 | 出書(6月2日)野田.zip | |
|
項番3
|
||
|
項目名
|
内容
|
備考
|
| 送信元アドレスドメイン | hanmail.net | |
| 件名 | (なし) | |
| 本文 | お疲れ様です。/ 年休申請書(健康診断)をお送りします。 宜しくお願い致します。 ________________________________________ (株)ジェイアール東日本情報システム 大宮支店 ヘルプデスク 野田 卓也 NTT xxx-xxx-xxxx JR xxx-xxxx |
xは数字 |
| 添付ファイル名 | 出書(6月2日)野田.zip | |
【添付ファイル情報】
|
項番1
|
||
|
項目名
|
内容
|
備考
|
| ファイル名 | 出書(6月2日)野田.zip | [VirusTotalにアップロードされていたその他のファイル名] (なし) |
| ハッシュ値 | MD5: 0BF41F79D561267DCA41752DAF1624C0 SHA-1: 6CF56701B2B07E58F8C41C994D55C7BB7D682642 |
|
| 展開後ファイル名 | 休暇承認兼申出書(6月2日)野田84979457134.js | |
|
項番2
|
||
|
項目名
|
内容
|
備考
|
| ファイル名 | 出書(6月2日)野田.zip | |
| ハッシュ値 | 不明 | |
| 展開後ファイル名 | 休暇承認兼申出書(6月3日)野田92797734415.js | |
|
項番3
|
||
|
項目名
|
内容
|
備考
|
| ファイル名 | 出書(6月2日)野田.zip | |
| ハッシュ値 | 不明 | |
| 展開後ファイル名 | 休暇承認兼申出書(6月6日)野田0680330416_049.js | |
【展開後ファイル情報】
|
項番1
|
||
|
項目名
|
内容
|
備考
|
| ファイル名 | 休暇承認兼申出書(6月2日)野田_0680330416_049.js | [VirusTotalにアップロードされていたその他のファイル名] (なし) ただし、展開後のファイル名についてはいくつバリエーションがあり。 |
| ハッシュ値 | MD5: 9B08D0EEE2E63D72D7941FC221DE04E2 SHA-1: 423FEB5F9AD2F8618327DA973373A21A7B4464E4 |
|
| 通信先 | krugmaintenance.com | 左記ドメインから[filejp.png]をダウンロード |
|
項番2
|
||
|
項目名
|
内容
|
備考
|
| ファイル名 | 休暇承認兼申出書(6月3日)野田_92797734415.js | [VirusTotalにアップロードされていたその他のファイル名] (なし) |
| ハッシュ値 | MD5: 80C1A0963300B53ADB3F5ABDB97C57FA SHA-1: 534AEACC8038BFAE654F3D4B4D7B21366BAA95C7 |
|
| 通信先 | rakcomic.com | 左記ドメインから[entryfilejp.png]をダウンロード |
|
項番3
|
||
|
項目名
|
内容
|
備考
|
| ファイル名 | 休暇承認兼申出書(6月6日)野田_0680330416_049.js | [VirusTotalにアップロードされていたその他のファイル名] (なし) |
| ハッシュ値 | MD5: A54A12693134CE5412C4914C127214A1 SHA-1: 016B9395CAFBB0D443E1BC404234F80E3C77820D |
|
| 通信先 | 95.211.15.138 | 左記アドレスから[file0.exe]をダウンロード |
【DLファイル情報】
|
項番1
|
||
|
項目名
|
内容
|
備考
|
| ファイル名 | filejp.png | 拡張子は「.png」だがファイルタイプは実行形式ファイル。 [プロパティの詳細タブ]  [VirusTotalにアップロードされていたその他のファイル名] 出書(6月2日)野田内jsでDLするexe.png 6a6cca1f0.exe filejp.png filejp[1].png f86a6c390.exe e4e3ad84f.exe 647459710.exe |
| ハッシュ値 | MD5: 21389F035CC9633355D69D5FAF9DB84E SHA-1: 9FA9D2977C8526167BD609E146F3A9816E97EB7C |
|
| 通信先 | awd.byfaithchurch.org | 13257ポートをListen |
|
項番2
|
||
|
項目名
|
内容
|
備考
|
| ファイル名 | entryfilejp.png | 拡張子は「.png」だがファイルタイプは実行形式ファイル。 [プロパティの詳細タブ]  [VirusTotalにアップロードされていたその他のファイル名] (なし) |
| ハッシュ値 | MD5: 477B4120780B2FF7DEC4EFD0BA0B0501 SHA-1: 08C9D41575C74F0257D24156F3FE25E728085AC9 |
|
| 通信先 | awd.byfaithchurch.org | 54103をポートをListen |
|
項番3
|
||
|
項目名
|
内容
|
備考
|
| ファイル名 | file0.exe | [プロパティの詳細タブ] [VirusTotalにアップロードされていたその他のファイル名] (なし) |
| ハッシュ値 | MD5: 4193AB27C22B8DAEE7B980EB0116FB60 SHA-1: 5F8C061CAB1B8CD0292AA4A17C8234081DA4F248 |
|
| 通信先 | awd.byfaithchurch.org | 39605ポートをListen |
【2016/06/06追記】
エントリタイトル変更
項目2つを追記
【2016/06/05追記】
【メール基本情報】の送信元ドメインの備考を追記
【2016/06/04追記】
【メール基本情報】の送信元ドメイン、件名、本文追記