cNotes 検索 一覧 カテゴリ

インジェクション - お薬系 4

Published: 2010/06/07

もはや、.ruでも8080でも、さらにお薬系でもなくなっているのですが、、、、、


こちらは今まで通りのお薬系。

 pharmacy-magazine.com
 pharmacy-magazine.com has address 88.191.47.83
 pharmacy-magazine.com has address 91.196.127.23
 pharmacy-magazine.com has address 217.20.47.85
 pharmacy-magazine.com has address 62.84.155.246
 pharmacy-magazine.com has address 87.194.123.116

そして、よくありがちな時計系の広告も始まりました。

 discount-bestwatches.com
 discount-bestwatches.com has address 217.20.47.85
 discount-bestwatches.com has address 62.84.155.246
 discount-bestwatches.com has address 87.194.123.116
 discount-bestwatches.com has address 88.191.47.83
 discount-bestwatches.com has address 91.196.127.23

立派な広告システムとして運用されているようです。

いままでどおり、使われているサイトは、数か月前までは8080系のマルウェア感染で騒がれていたサイトです。当時のリスト以上に実はたくさん陥落サイトが存在したのか、対策が施されないままいままで放置され続けているのか、、、、、、

メール文面の誘導URLは、

インジェクション - お薬系 3」以降、

IPアドレス直指定のURLは全く観測されなっており、その後一部のホスティング業者さんが対応をしてから日本国内のドメインは全体の5%程度にまで減少しています。

ただしjpドメイン含めその他のドメインに関しても、定期的に新しいドメインに切り替えられているようで、陥落したサイトのストックはたくさんあるようです。

で、ちょっと前からの話ではありますが、本体サイトが8080でもruでもなくなっているので、見た目上の共通的な特徴は入口サイトに仕掛けられるhtmlファイルのファイル名が

 文字列XX.html   
 
 XX   数字

ということぐらいですね。

[カテゴリ:spam観察日記]

by jyake