cNotes 検索 一覧 カテゴリ

ユーザーの居場所を突き止めるカスタマイズ攻撃?「あなたの街で爆弾が爆発?」

Published: 2009/03/19

というようなニュースがありますが、うちの仕掛けに届くのは、こんなメール。

まぁ、ちょっと内容が進歩してるのかな?でも同じ系統ですね。心配してくれてます。

 From: xxxxx
 To: xxxxx
 Subject: Haven't you been there at that time?
 
 Is it everything ok with you? http://ed.breakingnewsltd.com/
 
 From: xxxxx
 To: xxxxx
 Subject: We hope that you are ok
 
 Look at this!! http://yfaieo.tntbreakingnews.com/

クリックするとこんなページに行きます。

で、このキャプチャはなぜかTokyoが表示されてないんですが、別の仕掛けでは、日本からアクセスすると、「Reuters-Japan」と「Tokyo」の文字が入ります。

 Reuters-Japan: Terror attack in Tokyo
 At least 12 people have been killed and more than 40 wounded in a bomb blast
 near market in Tokyo. 
 Authorities suggested that explosion was caused by "dirty" bomb. Police said
 the bomb was detonated from close by using electric cables.
 "It was awful" said the eyewitness about blast that he heard from his
 shop. "It made the floor shake. So many people were running"
 Until now there has been no claim of responsibility.

で、ためしにロンドンの回線で接続してみると、「Reuters-United Kingdom」と「Chelmsford」が入ります。

 Reuters-United Kingdom: Terror attack in Chelmsford
 At least 12 people have been killed and more than 40 wounded in a bomb blast
 near market in Chelmsford. 
 Authorities suggested that explosion was caused by "dirty" bomb. Police said
 the bomb was detonated from close by using electric cables.  
 "It was awful" said the eyewitness about blast that he heard from his
 shop. "It made the floor shake. So many people were running"
 Until now there has been no claim of responsibility.

ほぉ巷のニュースどおり。でもエリアが広いですね。市区までいくと効果大かなぁと思ったりしますが。

もっと残念なのは、一部のスパムシステムで以前から実現されているように、ちゃんと表示される言語もその国用に変換されてもいいんじゃないかと思います。ということで機能的には古い感じ。ニュースの見出しほどたいした機能ではないんじゃないかと思っていますが、いつも有名人ネタでやってきたflashplayer系のスパムとしては進歩したってことになりますね。

で、このスパムの目的は、結局いつものようにFlashPlayerのインストールを促します。今回のファイル名はこれ。ほかにもあるかな。名前が違うだけで全部同じものです。何の影響か、アクセスするたびにこの部分も変化します。後で書きますがfast-fluxで接続するIPがころころ変わるので接続先ごとにコンテンツが違う?それともこの部分はランダムなのかはわかりませんが。

 news.exe
 save.exe
 run.exe

Virustotal先生の結果。GZIPで固めたまま送っちゃいました。Waledacですね。

いや、だから今回も思うのはsymantecとかTrendmicroとかが対応してないとまずいんじゃないかな?

いつもと違うのは、iframeのおまけ付。なんとなくマスクします。

 http://chatloveonline.com/tds/xxxxxx

利用されるドメインはすでに使い捨てられたものも含め多数あります。

たとえば、今も生きているこのドメイン、fast-fluxというよりdouble-fluxですね。というか、すべての特性がWaledac botnetですね。

 ;; QUESTION SECTION:
 ;ed.breakingnewsltd.com.                IN      A
 ;; ANSWER SECTION:
 ed.breakingnewsltd.com. 0       IN      A       216.227.53.148
 ;; AUTHORITY SECTION:
 breakingnewsltd.com.    222     IN      NS      ns4.farboards.com.
 breakingnewsltd.com.    222     IN      NS      ns3.farboards.com.
 breakingnewsltd.com.    222     IN      NS      ns2.farboards.com.
 breakingnewsltd.com.    222     IN      NS      ns1.farboards.com.
 breakingnewsltd.com.    222     IN      NS      ns5.farboards.com.
 breakingnewsltd.com.    222     IN      NS      ns6.farboards.com.
   Domain Name: BREAKINGNEWSLTD.COM
   Registrar: XIAMEN ENAME NETWORK TECHNOLOGY CORPORATION LIMITED DBA ENAME CORP
   Whois Server: whois.ename.com
   Referral URL: http://www.ename.com
   Name Server: NS1.FARBOARDS.COM
   Name Server: NS2.FARBOARDS.COM
   Name Server: NS3.FARBOARDS.COM
   Name Server: NS4.FARBOARDS.COM
   Name Server: NS5.FARBOARDS.COM
   Name Server: NS6.FARBOARDS.COM
   Status: clientDeleteProhibited
   Status: clientTransferProhibited
   Updated Date: 09-mar-2009
   Creation Date: 09-mar-2009
   Expiration Date: 09-mar-2010

関連:Obama and McCainFacebook Malicious Video Link SpamClassmates Malicious Video Link Spamイスラエルのガザ侵攻のニュースを利用したスパム etc

[カテゴリ:spam観察日記]

by jyake