cNotes 検索 一覧 カテゴリ

4SECONDS 4

Published: 2010/10/01

LinkedInきっかけです。1.htmlを使わないタイプも混在するようになってきました。

たとえば、

 http://aqdpqjfs.info

このドメインのAレコードは確認した時点では存在してませんでした。


あいかわらず誘導URLで1.htmlを利用するタイプのバリエーションも増えています。

誘導URLに利用されるドメインIP逆引きASAS name
grupofresh.com174.122.75.70l40170.solusoftware.com.21844THEPLANET-AS2US
camger.com64.71.33.95NONE20401HOSTWAYUS
mecenjoy.com82.165.213.51kundenserver.de.8560ONEANDONE-ASDE
hetfonteintje.com91.121.31.10ns25321.ovh.net.16276OVHFR

最新版は、アクセス先のコンテンツがアンチウィルスからフラッシュダウンロードに変わりました。そして「4SECONDS」表示がなくなりました。

昔にも同じようなコンテンツがありましたね。。

このような感じ。

 flash_player_07.78.exe

の正体はこれ。ZeuSですね。

http://www.virustotal.com/file-scan/report.html?id=68d5a7c10a89e1e02217e60d11195adfbd73dfdff12c94fec76e203143372dd4-1285896090

また先程のフラッシュのページのhtmlは「4SECONDS」がないだけで、いつものごとくこのような感じで、、、

いつものように.co.ccのiframe行がありますが、このドメインはこのような状態でした。

[カテゴリ:spam観察日記]

by jyake