cNotes 検索 一覧 カテゴリ

盗まれたアカウント情報の行方 3

Published: 2010/11/14

関連:

9月以降おやすみだったこれですが、10月中旬頃から、少しだけ復活しています。

メール内の誘導URL

 http://IPアドレス/~ユーザー名/文字列.html

いままでと同じで、

ftp等のアカウント情報が盗まれて、そこに、スクリプト等が仕込まれたhtmlファイルがこっそりと置かれているわけです。

機能的にはリダイレクタ。そのままマルウェア配布に使うこともできそうですが、事例を見たことはないです。

飛ばされた先のhtmlファイルの中身

到着点。

当然ですが「Canadian Pharmacy」はなく、すべて「Pharmacy Express」になってます。


誘導URLに使われているリダイレクタが設置されているサイトは、あいかわらず個人その他のブログやwebで、使用中のものからすでに更新を終了済みだがそのままなんのメンテもされず放置されているものなどさまざま。

まだ、数は爆発的に増えているわけではありませんが、新規に観測されているサイトのほとんどは9月以前の情報との重複のない新規サイトです。

ストックを利用しているのか、新規に収集したサイト情報なのか不明です。

利用されているURL数の国別集計。
URL数
US13
FR12
RU12
TH9
PL7
TR6
DE4
KR4
IT3
JP3
AR2
ES2
GB2
NL2
BY1
CH1
GE1
GR1
HU1
ID1


   Domain Name: DRMEDICPILLS.COM
   Registrar: ENOM, INC.
   Whois Server: whois.enom.com
   Referral URL: http://www.enom.com
   Name Server: NS1.HOST1FE.COM
   Name Server: NS2.NSATOR.RU
   Status: clientTransferProhibited
   Updated Date: 29-oct-2010
   Creation Date: 28-sep-2010
   Expiration Date: 28-sep-2011
 
 188.95.159.35
 inetnum:        188.95.159.0 - 188.95.159.127
 netname:        TAVRAHOST
 descr:          Tavria Host Network
 country:        UA

[カテゴリ:spam観察日記]

by jyake