インジェクション - easydrugsbuy.com:8080
Published: 2010/04/27
今年に入ってから最も多く観測されていて、SEO的なことからインジェクションまで、いろいろな手法が試されているスパムメールです。
このメール文中に使われているリンクの飛び先およびリダイレクション手法が4/26からちょっと興味を引く感じに変わりました。
リンクに使われているURLの一例ですが、日本国内のホスティングサービスや、おや?と思える名前がいろいろと含まれるようになっています。。。
202.30.55.70/prefix53.html 209.188.87.81/spoor68.html 212.227.255.109/kneel36.html 216.10.242.5/dote13.html 72.29.80.171/~jornalap/sett85.html 72.9.148.104/~flower/nosey63.html 88.85.99.2/~akvatika/glad46.html 91.121.142.187/~scorpion/hence39.html Zygosports.com/exeunt92.html a4h.com.au/crisp30.html balkandownload.t35.com/gateau86.html banbi.xxxxxxxx.jp/cabby36.html bluevendas.awardspace.biz/cape96.html bozax.100webspace.net/scared67.html cselectronic.prodejce.cz/rabble21.html dejja.atspace.com/cloth57.html destruct.fr33webhost.com/blotch91.html doga.dayuh.net/lode36.html ems.exam4me.com/pore59.html endustridanismani.com/drabs78.html engelhoney.xxxxxxxx.jp/carry26.html friederike.cafe24.com/smoker75.html ftp405.lolipop.jp/~lolipop.jp-dp44150432/podium54.html hcyeong.99k.org/quiz49.html hds-x.com/brand56.html hemp.jakou.com/rack79.html hieducation.net/creed33.html idai36.bake-neko.net/winkle42.html inturnetsite.co.uk/agent79.html jacknicklausapparel.com/koran21.html jrsystem.100webspace.net/ruff61.html liberation.ro/rectal67.html medialni666.eu.interia.pl/fitful27.html migranamor.uni.cc/prelim72.html mintubu.jp/dirt89.html murcellgrafik.com/pagoda51.html muzyka.100webspace.net/meed73.html neonatologija.rs/odds21.html ninja.yu-yake.com/tile84.html oekaki.chottu.net/stayer14.html omkara.100webspace.net/quit54.html onlinegame.ken-shin.net/fife19.html onlylonelywolf.nobody.jp/sally15.html orange.mu-sashi.com/bumf59.html otr.ro/hamlet26.html pabb.freehostking.com/hooey66.html pichlmayr.net/mirth15.html pionexxcoindia.com/pierce66.html prmillionaire.altervista.org/skin63.html putiget.kagechiyo.net/tackle24.html sahinn.100webspace.net/resent47.html seorank1.web.fc2.com/sarky65.html sp1211.zxq.net/score97.html stud.usv.ro/~vursu/spinal78.html sv40.wadax.ne.jp/~jpm-co-jp/liar66.html toanvu99.99k.org/saddle70.html vlmap.100webspace.net/affray74.html web222.login-18.hoststar.ch/kipper41.html web511.mis15.de/drench78.html whitenote.nobody.jp/rumor61.html wmobmenka.biz/pelvis10.html www.apprentie-etudiante.net/shack55.html www.clangsm.net/raid94.html www.freeorkutscraps.com/whole46.html www.gadgetsnepal.com/infra39.html www.gryfinogimnazjum.yoyo.pl/fund27.html www.herbshome.com/worthy94.html www.hobbyrobotik.de/time87.html www.ieeeprojects.in/curry85.html www.ishanearthing.net/gruel20.html www.jesusjara.net/molten59.html www.mahasalam.com/evens96.html www.master.pl/~dobermanka/size25.html www.porno-dvd-sex.ru/tuna16.html www.pvcsoft.com/herald92.html www.smaak-vol.com/dabble28.html www.terkospapercups.com/honey83.html www.tevhidekseni.com/refuse67.html www.tomisat.legnica.pl/sewer40.html www.young-girlfriends.com/waddle77.html www16.atpages.jp/~kalasu/usage87.html zelenaoaza.100webspace.net/unfold21.html zoku.sarashi.com/duff49.html
これらのページにはこのような行が注入されていて、
結局、ここへリダイレクトされるというオチ。
今のところマルウェア配布には興味がないようです。
Domain Name: EASYDRUGSBUY.COM Registrar: REGIONAL NETWORK INFORMATION CENTER, JSC DBA RU-CENTER Whois Server: whois.nic.ru Referral URL: http://www.nic.ru Name Server: NS1.EASYDRUGSBUY.COM Name Server: NS2.EASYDRUGSBUY.COM Name Server: NS3.EASYDRUGSBUY.COM Name Server: NS4.EASYDRUGSBUY.COM Status: clientTransferProhibited Updated Date: 25-apr-2010 Creation Date: 19-mar-2010 Expiration Date: 19-mar-2011 Registrant ID: LRNPIB0-RU Registrant Name: Irina V Sugakova Registrant Organization: Irina V Sugakova Registrant Street1: Vsevolzhskiy r-n, ul.Khesina, Registrant Street1: d.16 kv.41 Registrant City: im. Morozova Registrant State: Leningradskaya obl. Registrant Postal Code: 188679 Registrant Country: RU
;easydrugsbuy.com. IN A ;; ANSWER SECTION: easydrugsbuy.com. 295 IN A 92.52.88.240 easydrugsbuy.com. 295 IN A 93.89.80.117 easydrugsbuy.com. 295 IN A 94.23.110.101 easydrugsbuy.com. 295 IN A 95.154.248.161 easydrugsbuy.com. 295 IN A 217.172.170.116
inetnum: 92.52.88.192 - 92.52.88.255 netname: RSPC-UK-Internal descr: Host routes country: GB
inetnum: 93.89.80.0 - 93.89.80.255 netname: GOSCOMB-INFRA descr: Goscomb Technologies Limited country: GB
inetnum: 94.23.110.96 - 94.23.110.111 netname: MaxVPS descr: Serveur VPS country: FR
inetnum: 95.154.248.0 - 95.154.251.255 netname: iDealhosting-2 descr: iDealhosting Managed Servers country: GB
inetnum: 217.172.170.64 - 217.172.170.127 descr: SERVER4YOU Dedicated Server Hosting descr: http://www.server4you.de netname: SERVER4YOU-1 country: DE
このスパムですが本日も絶賛受信中です。
by jyake