cNotes 検索 一覧 カテゴリ

End of Aug. Stat. Required

Published: 2012/02/15

スクリプトが仕込まれたhtmlファイルが添付されているタイプ。

1日のみ観測。

2通のみ。

リダイレクト先に設置されてそうなスクリプトファイルがそのまま添付されています。(アンチウィルスの検出率は低い)

ファイル名は「invoice_XXXXX.html」という感じでお馴染みのファイル名。

攻撃の内容も若干変わってきています。通数が少ないのは、狙い撃ちなのか、それともただの試験なのか。


メール本文。

添付ファイルの中身は、こんなスクリプト。

このファイル自体はこんな評価。

https://www.virustotal.com/file/9008d34e3c0dc2706bed663c05b67a86105a6d0aed5455d4df0e1ff7f402628d/analysis/1329272793/

(3/43)

このスクリプトでダウンロードさせられるファイルは、これら。

 http://kamarovoskorlovo.ru:8080/images/xqhvjzymazevat.jar
 http://kamarovoskorlovo.ru:8080/images/bpjzjwhrxtjohqj.jar  
 http://kamarovoskorlovo.ru:8080/images/iuynjngnfwanc.php 
 http://serebrokakzoloto.ru:8080/images/jw.php?i=8

解析のタイミングで、ファイル取得できませんでした。

このファイルは、過去の解析結果が。

 http://serebrokakzoloto.ru:8080/images/jw.php?i=8

https://www.virustotal.com/file/93ace58326e19d49ac0a84df9dc32818afd118cf3fd5b993727d0dbd56d29c2e/analysis/

(19/43)

[カテゴリ:spam観察日記]

by jyake