cNotes 検索 一覧 カテゴリ

CNN.com関連のスパム

Published: 2008/08/15

update 2008/8/15

8/13から、「msnbc.com - BREAKING NEWS:ほげほげ」というサブジェクトのメールに変わってます。

手法も中身も同じです。

少し対応は進みました。

update by jyake


update: 2008/8/13

8/13 7:00ごろからサブジェクトが「CNN Alerts: Breaking news」に変わってます。

ドメインの方は無限に増え続けているので省略。IPアドレス直のものも多数。htmlファイルは昔のやつに戻ってますね。ダウンロードされるのは、

 adobe_flash.exe
  • index2.html (始まり)
  • cnnnews.html  (8/6 4:00ごろから)
  • /news/     (8/6 7:00ごろから)
  • cnnvideo.html (8/6 21:00ごろから)
  • cnnlive.html (8/7 6:00ごろから)
  • cnntop.html (8/7 17:00ごろから
  • cnnonline.html (8/8 6:00ごろから)
  • cnnplus.html (8/8 16:00ごろから)
  • cnn.html (8/9 14:00ごろから)
  • cnncurrent.html (8/9 20:00ごろから)
  • cnnheadlines.html (8/10 16:00ごろから)
  • cnnhottopics.html (8/11 6:00ごろから)
  • cnnvid.html (8/11 19:00ごろから)追加
  • newscnn.html (8/12 6:00ごろから)追加
  • cnnlast.html (8/12 16:00ごろから)追加
  • update.html (8/13 7:00ごろから)追加

update by jyake


タイトル変えました。

8/8に「CNN.com Daily Top 10」から「CNN Alerts: My Custom Alert」に変わってますね。

ドメインの方は無限に増え続けているので省略。htmlファイルの変化のみ。

  • index2.html (始まり)
  • cnnnews.html  (8/6 4:00ごろから)
  • /news/     (8/6 7:00ごろから)
  • cnnvideo.html (8/6 21:00ごろから)
  • cnnlive.html (8/7 6:00ごろから)
  • cnntop.html (8/7 17:00ごろから
  • cnnonline.html (8/8 6:00ごろから)
  • cnnplus.html (8/8 16:00ごろから)追加
  • cnn.html (8/9 14:00ごろから)追加
  • cnncurrent.html (8/9 20:00ごろから)追加
  • cnnheadlines.html (8/10 16:00ごろから)追加
  • cnnhottopics.html (8/11 6:00ごろから)追加

ダウンロードされるファイルは8/8以降変化なく

 adobe_flash.exe

です。

update by jyake


update: 2008/8/8

継続してますね。ドメインは増えすぎているので省略しますが、htmlファイルの変化はこんな感じ。

  • index2.html (始まり)
  • cnnnews.html  (8/6 4:00ごろから)
  • /news/     (8/6 7:00ごろから)
  • cnnvideo.html (8/6 21:00ごろから)
  • cnnlive.html (8/7 6:00ごろから)
  • cnntop.html (8/7 17:00ごろから)追加
  • cnnonline.html (8/8 6:00ごろから)追加

「cnnonline.html」から、htmlの中身とダウンロードさせようとするファイルが変わりました。

 adobe_flash.exe

VirusTotal先生〜

update: 2008/8/8 by jyake


create: 2008/8/7

8/5から観測されているspamです。ちょっと騒ぎになってるっぽいので。

とりあえず画像を削除しているのでなんだかわからない文面例ですが・・・タイトルどおりの文面になってます。

文面中のリンクにはマルウェア感染を行わせるためのURLが埋め込まれていて、そのリンクは高頻度に変わります。

 http://isctrim.com/index2.html
 http://realdecor.com.br/index2.html
 http://vehne-cafe.de/index2.html
 http://www.weddingsinsardinia.com/index2.html
 http://realdecor.com.br/index2.html
 http://208.112.108.239/index2.html
 http://dztransporte.de/index2.html
 http://www.weddingsinsardinia.com/index2.html
 http://tomar-a-andar.com/index2.html
 http://attomega.com/index2.html
 http://autourdufeu.net/index2.html
 http://realdecor.com.br/index2.html
 http://voxinterna.de/index2.html
 http://realdecor.com.br/index2.html
 http://www.dj-ralfi.de/index2.html
 http://sol.innopulse.es/index2.html
 http://hometrimwork.com/index2.html
 http://borinsrl-store.com/index2.html
 http://www.bardaue.com.br/index2.html
 http://1stbs.com/index2.html
 http://3dtoy.com.br/index2.html
 http://sethory.de/cnnnews.html
 http://496dots.com/news/
 http://reservadeoporto.com/cnnnews.html
 http://style-r.de/cnnnews.html
 http://facecurve.com/news/
 http://imeriberica.com/cnnnews.html
 http://ourmark75.com/news/
 http://studiogabia.com/cnnnews.html
 http://www.marmibuono.com/cnnnews.html
 http://www.vonalpenhirsch.be/cnnnews.html
 http://reservadeoporto.com/cnnnews.html
 http://scotsact.com/cnnnews.html
 http://www.uwg-groebenzell.de/cnnnews.html
 http://energydrinkshop.com/cnnnews.html
 http://ophtha.com.co/cnnnews.html
 http://www.bellomeparrucchieri.it/cnnnews.html
 http://uggi.com.br/cnnnews.html
 http://caminhodocristo.com.br/cnnvideo.html
 http://familylaw-nj.com/cnnvideo.html
 http://www.massouristudios.gr/cnnvideo.html
 http://www.transam99.de/cnnvideo.html
 http://starbistro.de/cnnvideo.html
 http://thediver.co.il/cnnvideo.html
 http://maviinci.org/cnnvideo.html
 http://sarlcreapub.fr/cnnvideo.html
 http://cave-live.info/cnnvideo.html
 http://synerweb.info/cnnvideo.html
 http://www.60circles.org/news/
 http://www.6feeds.org/news/
 http://jumpking.fr/cnnlive.html
 http://www.75cubes.org/news/
 http://pyromagie.com/cnnlive.html
 http://piedrarustica.com/cnnlive.html
 http://fondeur.com/cnnlive.html
 http://beta.wwf.it/cnnlive.html
 http://ademirpestana.com.br/cnnlive.html
 http://www.nlg.com.br/cnnlive.html
 http://www.18columns.org/news/
 http://www.60balloons.org/news/
 http://www.83groups.org/news/

インジェクション系のお話と同じで、ファイル名?も定期的に変更になります。

  • index2.html (始まり)
  • cnnnews.html  (8/6 4:00ごろから)
  • /news/     (8/6 7:00ごろから)
  • cnnvideo.html (8/6 21:00ごろから)
  • cnnlive.html (8/7 6:00ごろから)

storm系というかzlob系というか、は、SQLインジェクション系にくらべるとこれらのURL関連の情報の変更頻度が高めです。

で、まぁ、とにかく、必要なコーデックに見せかけた

 get_flash_update.exe

なるファイルをダウンロードさせようとします。

VirusTotal先生に聞いてみるとこんな感じです。

相変わらず検出率低すぎ。

[カテゴリ:spam観察日記]

by jyake