盗まれたアカウント情報の行方 3
Published: 2010/11/14
関連:
9月以降おやすみだったこれですが、10月中旬頃から、少しだけ復活しています。
メール内の誘導URL
http://IPアドレス/~ユーザー名/文字列.html
いままでと同じで、
ftp等のアカウント情報が盗まれて、そこに、スクリプト等が仕込まれたhtmlファイルがこっそりと置かれているわけです。
機能的にはリダイレクタ。そのままマルウェア配布に使うこともできそうですが、事例を見たことはないです。
飛ばされた先のhtmlファイルの中身
到着点。
当然ですが「Canadian Pharmacy」はなく、すべて「Pharmacy Express」になってます。
誘導URLに使われているリダイレクタが設置されているサイトは、あいかわらず個人その他のブログやwebで、使用中のものからすでに更新を終了済みだがそのままなんのメンテもされず放置されているものなどさまざま。
まだ、数は爆発的に増えているわけではありませんが、新規に観測されているサイトのほとんどは9月以前の情報との重複のない新規サイトです。
ストックを利用しているのか、新規に収集したサイト情報なのか不明です。
利用されているURL数の国別集計。
| 国 | URL数 |
|---|---|
| US | 13 |
| FR | 12 |
| RU | 12 |
| TH | 9 |
| PL | 7 |
| TR | 6 |
| DE | 4 |
| KR | 4 |
| IT | 3 |
| JP | 3 |
| AR | 2 |
| ES | 2 |
| GB | 2 |
| NL | 2 |
| BY | 1 |
| CH | 1 |
| GE | 1 |
| GR | 1 |
| HU | 1 |
| ID | 1 |
Domain Name: DRMEDICPILLS.COM Registrar: ENOM, INC. Whois Server: whois.enom.com Referral URL: http://www.enom.com Name Server: NS1.HOST1FE.COM Name Server: NS2.NSATOR.RU Status: clientTransferProhibited Updated Date: 29-oct-2010 Creation Date: 28-sep-2010 Expiration Date: 28-sep-2011 188.95.159.35 inetnum: 188.95.159.0 - 188.95.159.127 netname: TAVRAHOST descr: Tavria Host Network country: UA
by jyake