ユーザーの居場所を突き止めるカスタマイズ攻撃?「あなたの街で爆弾が爆発?」
Published: 2009/03/19
というようなニュースがありますが、うちの仕掛けに届くのは、こんなメール。
まぁ、ちょっと内容が進歩してるのかな?でも同じ系統ですね。心配してくれてます。
From: xxxxx To: xxxxx Subject: Haven't you been there at that time? Is it everything ok with you? http://ed.breakingnewsltd.com/
From: xxxxx To: xxxxx Subject: We hope that you are ok Look at this!! http://yfaieo.tntbreakingnews.com/
クリックするとこんなページに行きます。
で、このキャプチャはなぜかTokyoが表示されてないんですが、別の仕掛けでは、日本からアクセスすると、「Reuters-Japan」と「Tokyo」の文字が入ります。
Reuters-Japan: Terror attack in Tokyo
At least 12 people have been killed and more than 40 wounded in a bomb blast near market in Tokyo. Authorities suggested that explosion was caused by "dirty" bomb. Police said the bomb was detonated from close by using electric cables. "It was awful" said the eyewitness about blast that he heard from his shop. "It made the floor shake. So many people were running" Until now there has been no claim of responsibility.
で、ためしにロンドンの回線で接続してみると、「Reuters-United Kingdom」と「Chelmsford」が入ります。
Reuters-United Kingdom: Terror attack in Chelmsford
At least 12 people have been killed and more than 40 wounded in a bomb blast near market in Chelmsford. Authorities suggested that explosion was caused by "dirty" bomb. Police said the bomb was detonated from close by using electric cables. "It was awful" said the eyewitness about blast that he heard from his shop. "It made the floor shake. So many people were running" Until now there has been no claim of responsibility.
ほぉ巷のニュースどおり。でもエリアが広いですね。市区までいくと効果大かなぁと思ったりしますが。
もっと残念なのは、一部のスパムシステムで以前から実現されているように、ちゃんと表示される言語もその国用に変換されてもいいんじゃないかと思います。ということで機能的には古い感じ。ニュースの見出しほどたいした機能ではないんじゃないかと思っていますが、いつも有名人ネタでやってきたflashplayer系のスパムとしては進歩したってことになりますね。
で、このスパムの目的は、結局いつものようにFlashPlayerのインストールを促します。今回のファイル名はこれ。ほかにもあるかな。名前が違うだけで全部同じものです。何の影響か、アクセスするたびにこの部分も変化します。後で書きますがfast-fluxで接続するIPがころころ変わるので接続先ごとにコンテンツが違う?それともこの部分はランダムなのかはわかりませんが。
news.exe save.exe run.exe
Virustotal先生の結果。GZIPで固めたまま送っちゃいました。Waledacですね。
いや、だから今回も思うのはsymantecとかTrendmicroとかが対応してないとまずいんじゃないかな?
いつもと違うのは、iframeのおまけ付。なんとなくマスクします。
http://chatloveonline.com/tds/xxxxxx
利用されるドメインはすでに使い捨てられたものも含め多数あります。
たとえば、今も生きているこのドメイン、fast-fluxというよりdouble-fluxですね。というか、すべての特性がWaledac botnetですね。
;; QUESTION SECTION: ;ed.breakingnewsltd.com. IN A ;; ANSWER SECTION: ed.breakingnewsltd.com. 0 IN A 216.227.53.148 ;; AUTHORITY SECTION: breakingnewsltd.com. 222 IN NS ns4.farboards.com. breakingnewsltd.com. 222 IN NS ns3.farboards.com. breakingnewsltd.com. 222 IN NS ns2.farboards.com. breakingnewsltd.com. 222 IN NS ns1.farboards.com. breakingnewsltd.com. 222 IN NS ns5.farboards.com. breakingnewsltd.com. 222 IN NS ns6.farboards.com.
Domain Name: BREAKINGNEWSLTD.COM Registrar: XIAMEN ENAME NETWORK TECHNOLOGY CORPORATION LIMITED DBA ENAME CORP Whois Server: whois.ename.com Referral URL: http://www.ename.com Name Server: NS1.FARBOARDS.COM Name Server: NS2.FARBOARDS.COM Name Server: NS3.FARBOARDS.COM Name Server: NS4.FARBOARDS.COM Name Server: NS5.FARBOARDS.COM Name Server: NS6.FARBOARDS.COM Status: clientDeleteProhibited Status: clientTransferProhibited Updated Date: 09-mar-2009 Creation Date: 09-mar-2009 Expiration Date: 09-mar-2010
関連:Obama and McCain、Facebook Malicious Video Link Spam、Classmates Malicious Video Link Spam、イスラエルのガザ侵攻のニュースを利用したスパム etc
by jyake