cNotes 検索 一覧 カテゴリ

Each depositor insured to at least $250000 per insured bank - CVE2011-3544

Published: 2011/12/09

あいかわらずこの攻撃手法につながるスパムがたくさんとどきます。

基本は同じ


引っ掛け用の文面は定期的に変わります。

1段目メール文中のURLの特徴は

 http://XXXXXXX/hhhhhh/index.html
 
 hhhhhh   6文字(asciiコード?16進数?)

index.htmlファイルの中身はこれ。

ジャンプ先のファイル名のバリエーションはこれ。

 js.js
 stcounter.js
 ajaxam.js
 jjquery.js

以下の挙動は同じ。

 g43kb6j34kblq6jh34kb6j3kl4.jar

の正体(6/43)CVE-2011-3544

http://www.virustotal.com/file-scan/report.html?id=e033996289f657e5c3549239049432e1e0c342810eb8a9cabd28dfe070eecdb8-1323400055

 v1.jar

の正体(14/43)CVE-2011-3544

http://www.virustotal.com/file-scan/report.html?id=d203a2207f3d1771a6b7605c49f03dcc8f056fc5934ebbc316bad58207de2a16-1323399932

fdp1.php?f=43でダウンロードされるPDFファイル

の正体(15/43)

http://www.virustotal.com/file-scan/report.html?id=c358a183c9b776c5eb55b21123cb974424e6826f302428d3a4bae3d35ac2e71f-1323399142

[カテゴリ:spam観察日記]

by jyake