Classmates Malicious Video Link Spam
Published: 2009/03/03
先週末に観測されたものですが、いつもの偽の動画プレーヤーをインストールさせようとする手法のバリエーションです。細かく言えば「Classmates Maricious Video Link Spam」というスパムのバリエーションです。
このようなメールが届き、
クリックするとこのようなページへ、
いろいろボタンがありますが、どれを押してもこれをダウンロードさせようとします。
Adobemedia10.exe
こんなアイコン。
VirusTotal先生の結果はこんな感じです。
観測されたURLはこんな長ったらしいものです。
classmates.registration.accountverify.messagecentre-rnzn1yaq4.sessionid83.com/videoL83.htm?/priority/INVITATION=b5qyewlcbdszrrd 1 classmates.registration.arekeninginfo.messagecentre-h2hyfd4ok.unionvideonews.com/videoL83.htm?/reload/INVITATION=xc2rlyrhydypypq 1 classmates.registration.completeserv.messagecentre-uc7tklakt.startupdatsclassmates.com/videoL83.htm?/completeserv/INVITATION=u8n90fpc3j3120t classmates.registration.cookies.messagecentre-blqaaeeg5.lovevideoplayer.com/videoL83.htm?/priority/INVITATION=rbfjrpkp0pozjl6 classmates.registration.filetime.messagecentre-axgw82fpo.unionvideonews.com/videoL83.htm?/processLogon/INVITATION=65oelskqbxe7vlg classmates.registration.launchpad.messagecentre-1csa9kep2.unionvideonews.com/videoL83.htm?/startpagin/INVITATION=he3dcgyv9al2xwa classmates.registration.management.messagecentre-ofrt8v5s5.startupdatsclassmates.com/videoL83.htm?/information/INVITATION=jdyw3pcf3nftukv classmates.registration.mixed.messagecentre-75uik73ft.sessionid83.com/videoL83.htm?/InterstitialControl/INVITATION=topemspoh4psnfp classmates.registration.multipart.messagecentre-paqk58zrn.meetstartsession.com/videoL83.htm?/servlet/INVITATION=awnzp81us3da0tc classmates.registration.priority.messagecentre-4koqtudo2.sessionid83.com/videoL83.htm?/usermanage/INVITATION=z7j9e1sefzp2rxm 1 classmates.registration.process.messagecentre-udy7h21ux.lovevideoplayer.com/videoL83.htm?/CEBMainServlet/INVITATION=zn7vxwanf5aznbz classmates.registration.processLogon.messagecentre-ecvbbvla0.startupdatsclassmates.com/videoL83.htm?/filetime/INVITATION=2euushu2sd4zb7v classmates.registration.secureconnection.messagecentre-ia0nt43tk.meetstartsession.com/videoL83.htm?/disbursements/INVITATION=u4d2ugfv714x0le classmates.registration.serveronline.messagecentre-fbhec9ys7.meetstartsession.com/videoL83.htm?/subject/INVITATION=228b52iqs5eekrb classmates.registration.type.messagecentre-c00qnjnnz.unionvideonews.com/videoL83.htm?/launchpad/INVITATION=fn3jdel271k2561 classmates.registration.version.messagecentre-ih2p4k279.meetstartsession.com/videoL83.htm?/emberUIWeb/INVITATION=uxke106nvzzrdsq
各ドメインの情報はこんな感じ。
Domain Name: SESSIONID83.COM Registrar: BIZCN.COM, INC. Whois Server: whois.bizcn.com Referral URL: http://www.bizcn.com Name Server: NS1.DRAGONFROL.COM Name Server: NS2.DRAGONFROL.COM Status: clientDeleteProhibited Status: clientTransferProhibited Updated Date: 27-feb-2009 Creation Date: 27-feb-2009 Expiration Date: 27-feb-2010
Domain Name: UNIONVIDEONEWS.COM Registrar: BIZCN.COM, INC. Whois Server: whois.bizcn.com Referral URL: http://www.bizcn.com Name Server: NS1.DRAGONFROL.COM Name Server: NS2.DRAGONFROL.COM Status: clientDeleteProhibited Status: clientTransferProhibited Updated Date: 27-feb-2009 Creation Date: 27-feb-2009 Expiration Date: 27-feb-2010
Domain Name: MEETSTARTSESSION.COM Registrar: BIZCN.COM, INC. Whois Server: whois.bizcn.com Referral URL: http://www.bizcn.com Name Server: NS1.DRAGONFROL.COM Name Server: NS2.DRAGONFROL.COM Status: clientDeleteProhibited Status: clientTransferProhibited Updated Date: 27-feb-2009 Creation Date: 27-feb-2009 Expiration Date: 27-feb-2010
registrant情報はみんな一緒です。
Registrant Contact: F D Inc Filippo Vella fdinc@inc.com 4042594333 fax: 4042594333 389 CalhounSt Atlanta GA 30318 us
すでにIPアドレスは登録されていないようなので、この手法は終了したのかも。
関連:イスラエルのガザ侵攻のニュースを利用したスパム、Obama and McCain、CNN.com関連のスパム
by jyake