cNotes 検索 一覧 カテゴリ

エイプリルフール StormWorm

Published: 2008/04/01

 Malware配布関連のサイトを早期に抽出する仕掛けを試行中にどうしても引っかかるので気になってしまいました。

たとえばちょっと前から存在していて今も継続中なものは、いつものとおりメールとSEOを利用していて

  • メールだとIPアドレス直打ちなURLが文面に記載されている
  • SEOを利用したものだと検索結果の表示は「F*****.Com」とドメイン名になってますが、実際のリンクはその逆引きのIPアドレスとはまったく無関係なIPアドレス直打ちURL

アクセスすると下記のようなページに接続し、HTMLの「Refresh」を使ってMalwareを自動ダウンロードさせようとします。

 <meta http-equiv="Refresh" content="5; URL=funny.exe"> 
 <title>April Fool's Day</title>
 <body>
 <center>
 <a href="kickme.exe"><img src="af.jpg" border="0"><br></a><br>
 Your download will start in 5 seconds.<br>
 If your download does not start, <br>
 <a href="foolsday.exe">click here</a> and then press "Run".

Malware関連だけではなく、スパム関連で別ページにリダイレクトさせる際に良く見るタイプのつくりですね。ブラウザのスクリプト実行を切っていてもダウンロードしようとしてしまいます。それ以外にもクリックする場所によりその他2種類のMalwareをダウンロードします。ま、典型的なStormWormの配布サイトです。複数サイト存在しますが、1サイトのみ?生きてますね。いずれも米国ですが、接続できなくなっているサイトはブロードバンド接続の端末だったようです。これも最近の典型的な配布サイトの構成(Stormにしてはシンプル)ですが厄介ですね。

[カテゴリ:botnet観察日記]

by jyake