ウイルス添付メールの例(米トレンドマイクロの情報から引用)
ウイルス添付てんぷメールのれいべいトレンドマイクロの情報じょうほうから引用いんよう
[画像がぞうのクリックで拡大かくだい表示ひょうじ]

 べいシマンテックやべいトレンドマイクロ、べいマカフィーなどは2007ねん4がつ12にちおよび13にちあらたなウイルスメールが出回でまわっているとして注意ちゅういびかけた。「あなたはウイルスに感染かんせんしている」とおどかして、メールに添付てんぷしたウイルスをセキュリティ修正しゅうせいプログラム(パッチ)にせかけて実行じっこうさせようとする。ウイルスファイルをパスワード保護ほごしたり、メール本文ほんぶん画像がぞうにしたりすることで、セキュリティソフトを回避かいひしようとするのが特徴とくちょう

 メールは英語えいご記述きじゅつされている()。メールの件名けんめいは「Virus Alert!(ウイルス警告けいこく!)」「Virus Activity Detected!(ウイルス活動かつどう検出けんしゅつ!)」「Spyware Alert!(スパイウエア警告けいこく!)」「ATTN!(注意ちゅうい!)」――など。送信そうしんしゃめいは「Customer Support Center」などとして、プロバイダーからおくられたようにせかける。

 本文ほんぶんには、「お客様きゃくさまへ。あなたのIPアドレスからのメール送信そうしんにおいて異常いじょう検知けんちしました。最近さいきん流行りゅうこうしているウイルス(ワーム)に感染かんせんしているためだとかんがえられます。このメールに添付てんぷしたパッチをインストールして、ウイルスを駆除くじょして異常いじょうなメール送信そうしんめてください。さもないと、あなたのアカウントを停止ていしします」といった内容ないよう英文えいぶんかれている。

 添付てんぷされているのは、パスワード保護ほごしたZIP形式けいしき圧縮あっしゅくファイル。展開てんかいするためのパスワードはメールの本文ほんぶんちゅう記述きじゅつされている。ファイルめいは、「patch-[4~5けたのランダムな数字すうじれつ].zip」あるいは「hotfix-[4~5けたのランダムな数字すうじれつ].zip」。ファイルを展開てんかいすると、実行じっこう形式けいしき拡張子かくちょうしがexe)のウイルス本体ほんたい生成せいせいされる。これを実行じっこうするとウイルスに感染かんせん感染かんせんすると、アドレスちょうなどに登録とうろくされているメールアドレスあてに、おなじようなウイルス添付てんぷメールを送信そうしんさせられる。

 セキュリティベンダー各社かくしゃ情報じょうほうによれば、ウイルスファイルをパスワード保護ほごした圧縮あっしゅくファイルにしているのは、ウイルス対策たいさくソフトに検出けんしゅつされないようにするため。通常つうじょう対策たいさくソフトは圧縮あっしゅくファイルの中身なかみまで検査けんさするが、パスワードがかかっていると検査けんさできない。ただし、ZIPを展開てんかいしてつくられる今回こんかいのウイルスファイルにはすでおおくの対策たいさくソフトが対応たいおうみ。対策たいさくソフトを使つかっていれば、ZIPファイルを展開てんかいした時点じてん検出けんしゅつ駆除くじょできる。

 今回こんかいのウイルスメールのもうひとつの“工夫くふう”は、メールの本文ほんぶんをテキストではなく、GIF画像がぞうファイルにしていること。HTMLメールに対応たいおうしたメールソフトでは、この画像がぞうファイルが本文ほんぶんとして表示ひょうじされる(テキストのみ表示ひょうじするメールソフトでは、添付てんぷファイルのひとつとして表示ひょうじされる)。これにより、本文ほんぶん単語たんご文脈ぶんみゃくなどからスパム(迷惑めいわくメール)やウイルスメールかどうかを判定はんていするスパム対策たいさくソフトのチェックをかいくぐろうとする。