4 SECONDS
Published: 2010/09/25
この結構長く続いている4SECOND表示→FakeAVなシリーズ。。。
スクリプトを挟まずにメールの文面中の誘導URLでいきなり1.htmlが利用されているパターンもあります。
たとえば、こんなiTunes Storeからのメールで
文中のリンクはすべてこんなURL。
http://mimartar.com/1.html
その中身。
新しいわけではなく、ずーっと同じ手法が繰り返されているだけなのですが、パターン的にはこんなのがあります。
1.メール→添付ファイル(マルウェア) 2.メール→添付ファイル(誘導スクリプト)→リダイレクタ1→リダイレクタ2→本体 3.メール→文中の誘導URL→リダイレクタ→本体
また、利用されるリダイレクタに関してはインジェクションにより構築されているもが多いようで、スパム解析ではなくインジェクション検出の仕組みのほうから見つかるものも多いです。
これ関連では以前から.cc系が多い???
by jyake