cNotes 検索 一覧 カテゴリ

「Re: Scan from a Hewlett-Packard Officejet」 も最近の攻撃に利用

Published: 2012/03/03

観測日: 2012/3/2

通数: 150通/day

手法: リダイレクト用スクリプトが仕込まれたhtmlファイルを添付

目的: 誘導先でマルウェアダウンロード

特徴:

ダウンロードリンクに「xxxxx.ru:8080」

「Scan from a Hewlett-Packard Officejet」ネタも最近の攻撃に利用されました。


おなじみの文面。

誘導の手法は一連の他のスパムと同じなので省略。


ダウンロードされるファイル

リンクは例えばこのような感じ。

 http://csoaspfdpojuasfn.ru:8080/images/dndtbvylksjq.php 
 cpxnanfrgzepj.jar

https://www.virustotal.com/file/4aa50efb99114bf4215e44f91d1aa5d818aa974b8a8cca2657454c2833b0a0a9/analysis/1330755337/

(26/43)CVE-2011-3544

 emjpxvitetiqcpk.jar

https://www.virustotal.com/file/dab184aeea5b8155155c0ebf55450b5cfd168bf59b744e447f7760fe1ba419c7/analysis/1330755468/

(27/42)CVE-2011-3544

 dndtbvylksjq.php

https://www.virustotal.com/file/ee6d94d4756ca567c76a3fcf06145cd28fc54642d7f9ee5ebf1efc4ccc52446b/analysis/1330755703/

(27/43) PDF

 xqyndrbualfl.swf

https://www.virustotal.com/file/b352f265a95203e4cebcbcec5f5f064d59f1d46ade97a0d04cb2d38d8f354261/analysis/1330755915/

(17/43) SWF CVE-2011-0611

[カテゴリ:spam観察日記]

by jyake