cNotes 検索 一覧 カテゴリ

インジェクション - お薬系 3

Published: 2010/05/26

勢いが収まったわけではわなく、ずっと利用されていた8080系の入り口サイトが別のセットに切り替わったってことみたいですね。古い方はインジェクションされたまま放置状態になってます。新しいサイト群がつかわれているようです。

飛ばされる先の新しいドメインはこのあたり。

 drugbestprice.com

シマンテックさんあたりのレポートもあるようですので、ここで見えている特徴を軽く。。

  • 兆候は4/23日あたりからありそのころは一日1〜3通程度でしたが
  • 4/26から一気に増え
  • さらに5/11にもう一段階増加
  • ドメインではなくIPアドレス直指定のURLはオレンジ色の部分で平均で全体の6%程度
  • なぜか5/25からIPアドレス直指定のURLが書き込まれたスパムは0になっている
  • domain指定、IPアドレス直指定関係なく全体の6%が「xxxxx/~ユーザー名/」の形式のURL
  • IPアドレス直指定のURLの場合は一日に観測されるURLの90%〜100%がこの「xxxxx/~ユーザー名/」のタイプ。
  • 誘導先に1/500程度の確率でマルウェア感染用のスクリプトが仕込まれていることがある

のような感じです。

[カテゴリ:spam観察日記]

by jyake