CNN.com関連のスパム
Published: 2008/08/15
update 2008/8/15 |
---|
8/13から、「msnbc.com - BREAKING NEWS:ほげほげ」というサブジェクトのメールに変わってます。
手法も中身も同じです。
少し対応は進みました。
update by jyake
update: 2008/8/13
8/13 7:00ごろからサブジェクトが「CNN Alerts: Breaking news」に変わってます。
ドメインの方は無限に増え続けているので省略。IPアドレス直のものも多数。htmlファイルは昔のやつに戻ってますね。ダウンロードされるのは、
adobe_flash.exe
- index2.html (始まり)
- cnnnews.html (8/6 4:00ごろから)
- /news/ (8/6 7:00ごろから)
- cnnvideo.html (8/6 21:00ごろから)
- cnnlive.html (8/7 6:00ごろから)
- cnntop.html (8/7 17:00ごろから
- cnnonline.html (8/8 6:00ごろから)
- cnnplus.html (8/8 16:00ごろから)
- cnn.html (8/9 14:00ごろから)
- cnncurrent.html (8/9 20:00ごろから)
- cnnheadlines.html (8/10 16:00ごろから)
- cnnhottopics.html (8/11 6:00ごろから)
- cnnvid.html (8/11 19:00ごろから)追加
- newscnn.html (8/12 6:00ごろから)追加
- cnnlast.html (8/12 16:00ごろから)追加
- update.html (8/13 7:00ごろから)追加
update by jyake
タイトル変えました。
8/8に「CNN.com Daily Top 10」から「CNN Alerts: My Custom Alert」に変わってますね。
ドメインの方は無限に増え続けているので省略。htmlファイルの変化のみ。
- index2.html (始まり)
- cnnnews.html (8/6 4:00ごろから)
- /news/ (8/6 7:00ごろから)
- cnnvideo.html (8/6 21:00ごろから)
- cnnlive.html (8/7 6:00ごろから)
- cnntop.html (8/7 17:00ごろから
- cnnonline.html (8/8 6:00ごろから)
- cnnplus.html (8/8 16:00ごろから)追加
- cnn.html (8/9 14:00ごろから)追加
- cnncurrent.html (8/9 20:00ごろから)追加
- cnnheadlines.html (8/10 16:00ごろから)追加
- cnnhottopics.html (8/11 6:00ごろから)追加
ダウンロードされるファイルは8/8以降変化なく
adobe_flash.exe
です。
update by jyake
update: 2008/8/8
継続してますね。ドメインは増えすぎているので省略しますが、htmlファイルの変化はこんな感じ。
- index2.html (始まり)
- cnnnews.html (8/6 4:00ごろから)
- /news/ (8/6 7:00ごろから)
- cnnvideo.html (8/6 21:00ごろから)
- cnnlive.html (8/7 6:00ごろから)
- cnntop.html (8/7 17:00ごろから)追加
- cnnonline.html (8/8 6:00ごろから)追加
「cnnonline.html」から、htmlの中身とダウンロードさせようとするファイルが変わりました。
adobe_flash.exe
VirusTotal先生〜
update: 2008/8/8 by jyake
create: 2008/8/7
8/5から観測されているspamです。ちょっと騒ぎになってるっぽいので。
とりあえず画像を削除しているのでなんだかわからない文面例ですが・・・タイトルどおりの文面になってます。
文面中のリンクにはマルウェア感染を行わせるためのURLが埋め込まれていて、そのリンクは高頻度に変わります。
http://isctrim.com/index2.html http://realdecor.com.br/index2.html http://vehne-cafe.de/index2.html http://www.weddingsinsardinia.com/index2.html http://realdecor.com.br/index2.html http://208.112.108.239/index2.html http://dztransporte.de/index2.html http://www.weddingsinsardinia.com/index2.html http://tomar-a-andar.com/index2.html http://attomega.com/index2.html http://autourdufeu.net/index2.html http://realdecor.com.br/index2.html http://voxinterna.de/index2.html http://realdecor.com.br/index2.html http://www.dj-ralfi.de/index2.html http://sol.innopulse.es/index2.html http://hometrimwork.com/index2.html http://borinsrl-store.com/index2.html http://www.bardaue.com.br/index2.html http://1stbs.com/index2.html http://3dtoy.com.br/index2.html http://sethory.de/cnnnews.html http://496dots.com/news/ http://reservadeoporto.com/cnnnews.html http://style-r.de/cnnnews.html http://facecurve.com/news/ http://imeriberica.com/cnnnews.html http://ourmark75.com/news/ http://studiogabia.com/cnnnews.html http://www.marmibuono.com/cnnnews.html http://www.vonalpenhirsch.be/cnnnews.html http://reservadeoporto.com/cnnnews.html http://scotsact.com/cnnnews.html http://www.uwg-groebenzell.de/cnnnews.html http://energydrinkshop.com/cnnnews.html http://ophtha.com.co/cnnnews.html http://www.bellomeparrucchieri.it/cnnnews.html http://uggi.com.br/cnnnews.html http://caminhodocristo.com.br/cnnvideo.html http://familylaw-nj.com/cnnvideo.html http://www.massouristudios.gr/cnnvideo.html http://www.transam99.de/cnnvideo.html http://starbistro.de/cnnvideo.html http://thediver.co.il/cnnvideo.html http://maviinci.org/cnnvideo.html http://sarlcreapub.fr/cnnvideo.html http://cave-live.info/cnnvideo.html http://synerweb.info/cnnvideo.html http://www.60circles.org/news/ http://www.6feeds.org/news/ http://jumpking.fr/cnnlive.html http://www.75cubes.org/news/ http://pyromagie.com/cnnlive.html http://piedrarustica.com/cnnlive.html http://fondeur.com/cnnlive.html http://beta.wwf.it/cnnlive.html http://ademirpestana.com.br/cnnlive.html http://www.nlg.com.br/cnnlive.html http://www.18columns.org/news/ http://www.60balloons.org/news/ http://www.83groups.org/news/
インジェクション系のお話と同じで、ファイル名?も定期的に変更になります。
- index2.html (始まり)
- cnnnews.html (8/6 4:00ごろから)
- /news/ (8/6 7:00ごろから)
- cnnvideo.html (8/6 21:00ごろから)
- cnnlive.html (8/7 6:00ごろから)
storm系というかzlob系というか、は、SQLインジェクション系にくらべるとこれらのURL関連の情報の変更頻度が高めです。
で、まぁ、とにかく、必要なコーデックに見せかけた
get_flash_update.exe
なるファイルをダウンロードさせようとします。
VirusTotal先生に聞いてみるとこんな感じです。
相変わらず検出率低すぎ。
by jyake