Excel Web クエリファイル (.iqyファイル)に注意

脅威の概要

ExcelのWebクエリ機能は本来、Webページ上の表をExcel内に取り込む際に利用される機能です。
今回のケースでは、接続先情報等を保存したファイル(.iqyファイル) に、マルウェアに感染する接続先URLを記述したものを実行させ、感染させようとするものです。
メールに添付された.iqyファイルを開くと、マルウェアがダウンロードされ実行される恐れがあります。

実行した場合の影響

.iqyファイルを開くと、Excelが実行され、セキュリティ警告が表示されます。
「有効にする」を押すとマルウェアがダウンロードして実行されます。

この脅威への対策

【NetStableの対応状況】
拡張子が.iqyのファイルが添付されたメールを検知するシグネチャをリリースしております。

• 000131 Pop3 .iqy
• 3000132 Pop3 .iqy 2
  このシグネチャが検知された場合は、受信先IPアドレスの端末で.iqyファイルが添付されたメールを受信しておりますので、該当メールは開かず、添付ファイルは絶対に実行しないでください。

また、スパムメール等で大規模に拡散された .iqyファイルに記載されていた、
不正な接続先を遮断するシグネチャもリリースしております。

• 2001005 Malware iqy file download 1
• 2001006 Malware iqy file download 2
  このシグネチャが検知された場合は、不正な.iqyファイルを実行した恐れがあります。
  送信元IPアドレスの端末のウイルスチェックを行ってください。

【その他の対策・回避策】
今回の.iqyファイルの場合は、万が一メールの添付ファイルを開いた場合でも、Excelのセキュリティ機能にて実行前に一旦警告画面が表示されます。
この場合「無効にする」を押せば影響はありません。
また、メールに添付された不審なファイルは開かないよう注意してください。

まとめ

• Excel Webクエリファイル (.iqyファイル)からの感染事例がある
• 実行した場合も、「有効にする」を押さなければ悪影響はない
• 不審なファイルが添付されたメールは開かない・添付ファイルも開かない