cNotes 検索 一覧 カテゴリ

Classmates Malicious Video Link Spam

Published: 2009/03/03

先週末に観測されたものですが、いつもの偽の動画プレーヤーをインストールさせようとする手法のバリエーションです。細かく言えば「Classmates Maricious Video Link Spam」というスパムのバリエーションです。

このようなメールが届き、

クリックするとこのようなページへ、

いろいろボタンがありますが、どれを押してもこれをダウンロードさせようとします。

 Adobemedia10.exe

こんなアイコン。

VirusTotal先生の結果はこんな感じです。

観測されたURLはこんな長ったらしいものです。

 classmates.registration.accountverify.messagecentre-rnzn1yaq4.sessionid83.com/videoL83.htm?/priority/INVITATION=b5qyewlcbdszrrd 1
 classmates.registration.arekeninginfo.messagecentre-h2hyfd4ok.unionvideonews.com/videoL83.htm?/reload/INVITATION=xc2rlyrhydypypq 1
 classmates.registration.completeserv.messagecentre-uc7tklakt.startupdatsclassmates.com/videoL83.htm?/completeserv/INVITATION=u8n90fpc3j3120t
 classmates.registration.cookies.messagecentre-blqaaeeg5.lovevideoplayer.com/videoL83.htm?/priority/INVITATION=rbfjrpkp0pozjl6
 classmates.registration.filetime.messagecentre-axgw82fpo.unionvideonews.com/videoL83.htm?/processLogon/INVITATION=65oelskqbxe7vlg
 classmates.registration.launchpad.messagecentre-1csa9kep2.unionvideonews.com/videoL83.htm?/startpagin/INVITATION=he3dcgyv9al2xwa
 classmates.registration.management.messagecentre-ofrt8v5s5.startupdatsclassmates.com/videoL83.htm?/information/INVITATION=jdyw3pcf3nftukv
 classmates.registration.mixed.messagecentre-75uik73ft.sessionid83.com/videoL83.htm?/InterstitialControl/INVITATION=topemspoh4psnfp
 classmates.registration.multipart.messagecentre-paqk58zrn.meetstartsession.com/videoL83.htm?/servlet/INVITATION=awnzp81us3da0tc
 classmates.registration.priority.messagecentre-4koqtudo2.sessionid83.com/videoL83.htm?/usermanage/INVITATION=z7j9e1sefzp2rxm 1
 classmates.registration.process.messagecentre-udy7h21ux.lovevideoplayer.com/videoL83.htm?/CEBMainServlet/INVITATION=zn7vxwanf5aznbz
 classmates.registration.processLogon.messagecentre-ecvbbvla0.startupdatsclassmates.com/videoL83.htm?/filetime/INVITATION=2euushu2sd4zb7v
 classmates.registration.secureconnection.messagecentre-ia0nt43tk.meetstartsession.com/videoL83.htm?/disbursements/INVITATION=u4d2ugfv714x0le
 classmates.registration.serveronline.messagecentre-fbhec9ys7.meetstartsession.com/videoL83.htm?/subject/INVITATION=228b52iqs5eekrb
 classmates.registration.type.messagecentre-c00qnjnnz.unionvideonews.com/videoL83.htm?/launchpad/INVITATION=fn3jdel271k2561
 classmates.registration.version.messagecentre-ih2p4k279.meetstartsession.com/videoL83.htm?/emberUIWeb/INVITATION=uxke106nvzzrdsq

各ドメインの情報はこんな感じ。

   Domain Name: SESSIONID83.COM
   Registrar: BIZCN.COM, INC.
   Whois Server: whois.bizcn.com
   Referral URL: http://www.bizcn.com
   Name Server: NS1.DRAGONFROL.COM
   Name Server: NS2.DRAGONFROL.COM
   Status: clientDeleteProhibited
   Status: clientTransferProhibited
   Updated Date: 27-feb-2009
   Creation Date: 27-feb-2009
   Expiration Date: 27-feb-2010
   Domain Name: UNIONVIDEONEWS.COM
   Registrar: BIZCN.COM, INC.
   Whois Server: whois.bizcn.com
   Referral URL: http://www.bizcn.com
   Name Server: NS1.DRAGONFROL.COM
   Name Server: NS2.DRAGONFROL.COM
   Status: clientDeleteProhibited
   Status: clientTransferProhibited
   Updated Date: 27-feb-2009
   Creation Date: 27-feb-2009
   Expiration Date: 27-feb-2010
   Domain Name: MEETSTARTSESSION.COM
   Registrar: BIZCN.COM, INC.
   Whois Server: whois.bizcn.com
   Referral URL: http://www.bizcn.com
   Name Server: NS1.DRAGONFROL.COM
   Name Server: NS2.DRAGONFROL.COM
   Status: clientDeleteProhibited
   Status: clientTransferProhibited
   Updated Date: 27-feb-2009
   Creation Date: 27-feb-2009
   Expiration Date: 27-feb-2010

registrant情報はみんな一緒です。

 Registrant Contact:
   F D Inc
   Filippo Vella fdinc@inc.com
   4042594333 fax: 4042594333
   389 CalhounSt
   Atlanta GA 30318
   us

すでにIPアドレスは登録されていないようなので、この手法は終了したのかも。

関連:イスラエルのガザ侵攻のニュースを利用したスパムObama and McCainCNN.com関連のスパム

[カテゴリ:spam観察日記]

by jyake