cNotes 検索 一覧 カテゴリ

ABM AMROを騙るオランダ語スパム - indexx.html

Published: 2012/10/11

観測日: 2012/10/09

通数: 50通/day

手法: 誘導URL型

目的: マルウェア感染

BHEK2関連もバリエーションが増え続けていますが、その中で若干今までとは特徴が変わったものの例です。

特定の国を狙った?ためかオランダ語のメールで通数も少なめです。


ABM AMROはオランダの会社なのでオランダ語の文面。

意味的には、

「オンラインバンクで不正な支払いがあったのでアカウントをロックした。ロックを解除するためには、リンクにアクセスして確認してください。」

いつもの文面ですね。

文中のURL(改竄サイトに設置されるファイル名)の特徴が

 indexx.html

そこからこうリダイレクトしていきます。

 http://akpaavm.com/indexx.html
 
 ↓
 
 http://66.246.72.23/links/around_film.php

あいかわらず本体サイトは短命。。。


リダイレクタ設置に利用されるサイトもトルコのサービスメインでにいままでとはちょっと傾向が違います。

domainip逆引きASAS NameCountry
baki-alper.co.cc10.10.10.10NONENONE
phoenixkuafor.com5.2.82.32server.indexhaber.com.3188ALASTYR_Alastyr_Telekomunikasyon_Internet_Bilgisayar_Hizmetleri_Sanayi_Ticaret_Limited_SirketiTurkey
www.tuerknews.de81.169.145.90w8a.rzone.de.6724STRATO_STRATO_AGGermany
onlinealisverissiteniz.com213.142.138.217213-142-138-217.reverse.adeox.com.16265LEASEWEB_LeaseWeb_B.V.Turkey
miragelabs.info195.191.24.201win1.fastbighost.net.21219DATAGROUP_PRIVATE_JOINT_STOCK_COMPANY__DATAGROUP_Ukraine
boatoperatorcard.ca184.168.152.51p3nw8sh272.shr.prod.phx3.secureserver.net.26496AS-26496-GO-DADDY-COM-LLC_-_GoDaddy.com_LLCUnitedStates
avcioglu.com.tr84.51.33.88cp2.markum.net.34104GLOBAL-AS_Global_Iletisim_Hizmetleri_A.S.Turkey
dogalakustik.com94.73.146.3094-73-146-30.cizgi.net.tr.34619CIZGI_Cizgi_Telekomunikasyon_Hizmetleri_Sanayi_Ve_Ticaret_Limited_SirketiTurkey
grupcagriadana.com94.73.144.18094-73-144-180.cizgi.net.tr.34619CIZGI_Cizgi_Telekomunikasyon_Hizmetleri_Sanayi_Ve_Ticaret_Limited_SirketiTurkey
ismetacun.com89.19.29.4reseller25.natrohost.com.34619CIZGI_Cizgi_Telekomunikasyon_Hizmetleri_Sanayi_Ve_Ticaret_Limited_SirketiTurkey
smartismailer.com188.132.215.2sh1.smartisinteractive.com.42910SADECEHOSTING-COM_Hosting_Internet_Hizmetleri_Ltd_StiTurkey
hgm.com.tr93.187.205.58ns38.dnscini.com.43391NETDIREKT-TR_Netdirekt_A.S.Turkey
oneclickdown.com77.223.132.158linux2.net-sis.com.43391NETDIREKT-TR_Netdirekt_A.S.Turkey
abyolundaturkiye.com85.95.249.195cpsrv1.aktasweb.com.49467INETMAR_INETMAR_Internet_Hizmetleri_Autonomous_System_(izmir)Turkey
gulnarmuftulugu.gov.tr188.125.169.186server.teknobeta.com.49632DATATELEKOM_Datatelekom_Telekomunikasyon_Hiz._Dis_Tic._Ltd._Sti.Turkey
akpaavm.com93.89.231.593-89-231-5.fbs.com.tr.51557TR-FBS_FBS_BILISIM_COZUMLERI_TIC_LTD_STI.Cyprus
burduratarentacar.com93.89.231.593-89-231-5.fbs.com.tr.51557TR-FBS_FBS_BILISIM_COZUMLERI_TIC_LTD_STI.Cyprus
arzuyurter.com94.102.0.207207lcpkkv.ni.net.tr.51559NETINTERNET_Netinternet_Bilgisayar_ve_Telekomunikasyon_San._ve_Tic._Ltd._Sti.Turkey
gozde-yapi.com95.173.186.107107pw3rrv.ni.net.tr.51559NETINTERNET_Netinternet_Bilgisayar_ve_Telekomunikasyon_San._ve_Tic._Ltd._Sti.Turkey
portaltest.sitewebadam.com94.102.3.10cpanel2.webadam.com.51559NETINTERNET_Netinternet_Bilgisayar_ve_Telekomunikasyon_San._ve_Tic._Ltd._Sti.Turkey

二段目はUSです。

IP逆引きASAS NameCountry
66.246.72.23220891.ds.nac.net.8001NET-ACCESS-CORP_-_Net_Access_CorporationUnitedStates

これ以降はすでにアクセス不能でした。。

[カテゴリ:spam観察日記]

by jyake