cNotes 検索 一覧 カテゴリ

Facebookのログインシステム変更を騙るスパム

Published: 2009/10/29

またFacebook関連のスパムのバリエーションです。

最初に言っちゃいますが、昨日の「Facebook Password Reset」はBredolab派でしたが、今日のはちがってZeuS派です。

ネタまでかぶってる?というか、なんだか単に同じグループの攻撃のバリエーションなだけにみえちゃうんですが。。。ただ、全体を通じてメールやサイトのつくりの懲り方はZeuSの方が上ですね。

subjectは数種類。

 new login system
 Facebook Update Tool
 Facebook Account Update
 Facebook account update

中身はこんな感じで、

アクセスすると、このような画面。

ただのフィッシングかと思って先に進むと、このようにプログラムのダウンロードをすすめてきます。

一瞬フィッシングかと思いましましたが、結局マルウェアダウンロードというオチでした。

 updatetool.exe

の正体は、

http://www.virustotal.com/analisis/d2ceac95c514779eaa250d44bf9813a17c80ba512f7b2b28a6bab4aebb84f8d6-1256816934

zbot、、ZeuS派ですかね。

使われるドメインはこのタイプ。

 www.facebook.com.eiye1uc.eu
 www.facebook.com.eiye1ue.eu
 www.facebook.com.eiye1uf.eu
 www.facebook.com.eiye1ug.eu
 www.facebook.com.eiye1ur.eu
 www.facebook.com.eiye1us.eu
 www.facebook.com.eiye1ut.eu
 www.facebook.com.eiye1uv.eu
 www.facebook.com.fasazad.eu
 www.facebook.com.mibbbad.co.uk
 www.facebook.com.mibbbad.me.uk
 www.facebook.com.mibbbad.org.uk
 www.facebook.com.mibbbah.co.uk
 www.facebook.com.mibbbah.org.uk
 www.facebook.com.mibbbal.co.uk
 www.facebook.com.poresawa.eu
 www.facebook.com.poresawd.eu
 www.facebook.com.poresawe.eu
 www.facebook.com.poresawg.eu
 www.facebook.com.poresawj.eu
 www.facebook.com.poresawo.eu
 www.facebook.com.poresawq.eu
 www.facebook.com.poresaws.eu
 www.facebook.com.poresawt.eu
 www.facebook.com.poresawu.eu
 www.facebook.com.poresawv.eu
 www.facebook.com.poresawx.eu
 www.facebook.com.qqqqasc.eu
 www.facebook.com.qqqqasd.eu
 www.facebook.com.qqqqasf.eu
 www.facebook.com.qqqqasg.eu
 www.facebook.com.qqqqash.eu
 www.facebook.com.qqqqasj.eu
 www.facebook.com.qqqqask.eu
 www.facebook.com.qqqqasl.eu
 www.facebook.com.qqqqaso.eu
 www.facebook.com.qqqqasr.eu
 www.facebook.com.qqqqasy.eu
 www.facebook.com.saaasak.eu
 www.facebook.com.saaasam.eu
 www.facebook.com.saaasav.eu
 www.facebook.com.sazzawf.co.uk
 www.facebook.com.sazzawf.eu
 www.facebook.com.sazzawf.me.uk
 www.facebook.com.sazzawk.co.uk
 www.facebook.com.sazzawk.eu
 www.facebook.com.sazzawk.me.uk
 www.facebook.com.sazzawl.co.uk
 www.facebook.com.sazzawl.eu
 www.facebook.com.sazzawl.me.uk
 www.facebook.com.sazzawy.co.uk
 www.facebook.com.sazzawy.me.uk
 www.facebook.com.xxxasqwa.eu
 www.facebook.com.xxxasqwe.eu
 www.facebook.com.xxxasqwi.eu
 www.facebook.com.xxxasqwk.eu
 www.facebook.com.xxxasqwl.eu
 www.facebook.com.xxxasqwo.eu
 www.facebook.com.xxxasqwp.eu
 www.facebook.com.xxxasqwr.eu
 www.facebook.com.xxxasqwt.eu
 www.facebook.com.xxxasqwu.eu
 www.facebook.com.xxxasqwy.eu
 www.facebook.com.xxxasqwz.eu
 www.facebook.com.yy1azsva.eu
 www.facebook.com.yy1azsvc.eu
 www.facebook.com.yy1azsvq.eu
 www.facebook.com.yy1azsvz.eu
 www.facebook.com.yyy1asvf.eu
 www.facebook.com.yyy1azsy.eu
 www.facebook.com.yyy1azvg.eu
 www.facebook.com.yyy1zsve.eu
 www.facebook.com.yyyazsvd.eu
 www.facebook.com.zaaaasaa.eu
 www.facebook.com.zaaaasaq.eu
 www.facebook.com.zaaaasaz.eu

いつもどおりFast-Fluxですが、ひとつおもしろい?特徴が、

HINFOに"Casio" "Calculator"というデータが、、、

これは何でしょう?

 ;eiye1uc.eu.                    IN      ANY
 ;; ANSWER SECTION:
 eiye1uc.eu.             300     IN      HINFO   "Casio" "Calculator"
 eiye1uc.eu.             300     IN      A       59.23.93.27
 eiye1uc.eu.             300     IN      A       77.105.60.16
 eiye1uc.eu.             300     IN      A       77.120.41.167
 eiye1uc.eu.             300     IN      A       78.37.218.28
 eiye1uc.eu.             300     IN      A       87.207.203.21
 eiye1uc.eu.             300     IN      A       92.81.182.79
 eiye1uc.eu.             300     IN      A       121.177.253.53
 eiye1uc.eu.             300     IN      A       124.80.224.3
 eiye1uc.eu.             300     IN      A       151.50.178.193
 eiye1uc.eu.             300     IN      A       187.10.31.47
 eiye1uc.eu.             300     IN      A       200.104.41.147
 eiye1uc.eu.             300     IN      A       217.44.159.56
 eiye1uc.eu.             300     IN      A       218.165.225.140
 eiye1uc.eu.             300     IN      A       218.171.111.1
 eiye1uc.eu.             300     IN      A       222.106.227.84
 eiye1uc.eu.             300     IN      SOA     ns2.bifloner.net.   hostmaster.eiye1uc.eu. 10048 60 120 3600 3600
 eiye1uc.eu.             300     IN      NS      ns1.bifloner.net.
 eiye1uc.eu.             300     IN      NS      ns1.astor-hms.com.
 eiye1uc.eu.             300     IN      NS      ns2.bifloner.net.
 eiye1uc.eu.             300     IN      NS      ns2.astor-hms.com.

[カテゴリ:spam観察日記]

by jyake