cNotes 検索 一覧 カテゴリ

ADP Notification SPAM - BHEK2利用

Published: 2012/09/30

観測日: 2012/9/14〜9/30

通数: 300通/day

手法: 誘導URL型

目的: マルウェア感染

9月中旬からBHEK2に関連したスパムが大量にとどいていますが、その中でも9月末に向けて量が増えたものの一つです。


文面

文中の誘導URLはこのような感じ。

 http://calzadorilo.com/ACz3QK/index.html 
 http://hdsistem.com/972QnMkT/index.html 
 http://holzkunstsaile.de/KKLSoA/index.html 
 http://holzkunstsaile.de/WNoJow/index.html 
 http://jdassociates.in/SbjDHZj/index.html 
 http://paschallfordistrictattorney.com/YvvSX3/index.html 
 http://russianconnectionunlimited.com/nSsbHJT/index.html 
 
 XXXX.XXX/6文字のランダム文字列/index.html

index.htmlの中身は、「js.js」ファイルへのリンク。このリストもだいたい1日に一回変わって古いものはアクセス不能になります。攻撃手法というよりは対策されている場合が多いです。

「js.js」ファイルの中身は単純。このジャンプ先も賞味期限は1日程度。バリエーションは多数あります。

また、先週あたりまでは、このジャンプ先のURLそのものが、別のスパムによる誘導でも利用されていましたが、スパム文面にさらされると収集され対策される確率が高まるので失敗でしょう。

その中身。


これ以降はいつもどおりpdf,flash等の脆弱性狙いの攻撃です。


利用されているドメインは二週間で2000件程度あります。国別に分類するとこうなります。

US、ドイツのサイトが多く利用されているのはあいかわらず。

AS別にするとこうなります。

このなかから日本のサイトのみ抽出するとこうなります。

domainIP件数逆引きASAS NameCountry
5274ce745f3c7e77.lolipop.jp210.172.144.771lb08.virt.lolipop.jp.7506INTERQ_GMO_InternetIncJapan
dp38318372.lolipop.jp210.172.144.276lb06.virt.lolipop.jp.7506INTERQ_GMO_InternetIncJapan
ngneko.chu.jp210.172.144.1564lb09.virt.lolipop.jp.7506INTERQ_GMO_InternetIncJapan
ftp.rakuraku-soft.com112.78.119.2031NONE9371SAKURA-C_SAKURA_Internet_Inc.Japan
partners.dhw.co.jp113.33.102.914113x33x102x91.ap113.ftth.ucom.ne.jp.17506UCOM_UCOM_Corp.Japan
dfs.selfip.com121.82.134.1182121-82-134-118f1.osk2.eonet.ne.jp.17511K-OPTICOM_K-Opticom_CorporationJapan
www.qi-inc.com157.205.141.153webuxw35-15.aics.ne.jp.17514AICS_Otsuka_Corp.Japan
firstringabell.tyanoyu.net112.140.42.292homepage.shinobi.jp.23637BI-CDN-IX_Bit-isle_Co.Ltd.Japan
oneonlyjunk.suichu-ka.com112.140.42.296homepage.shinobi.jp.23637BI-CDN-IX_Bit-isle_Co.Ltd.Japan

[カテゴリ:spam観察日記]

by jyake