Facebookのログインシステム変更を騙るスパム
Published: 2009/10/29
またFacebook関連のスパムのバリエーションです。
最初に言っちゃいますが、昨日の「Facebook Password Reset」はBredolab派でしたが、今日のはちがってZeuS派です。
ネタまでかぶってる?というか、なんだか単に同じグループの攻撃のバリエーションなだけにみえちゃうんですが。。。ただ、全体を通じてメールやサイトのつくりの懲り方はZeuSの方が上ですね。
subjectは数種類。
new login system Facebook Update Tool Facebook Account Update Facebook account update
中身はこんな感じで、
アクセスすると、このような画面。
ただのフィッシングかと思って先に進むと、このようにプログラムのダウンロードをすすめてきます。
一瞬フィッシングかと思いましましたが、結局マルウェアダウンロードというオチでした。
updatetool.exe
の正体は、
zbot、、ZeuS派ですかね。
使われるドメインはこのタイプ。
www.facebook.com.eiye1uc.eu www.facebook.com.eiye1ue.eu www.facebook.com.eiye1uf.eu www.facebook.com.eiye1ug.eu www.facebook.com.eiye1ur.eu www.facebook.com.eiye1us.eu www.facebook.com.eiye1ut.eu www.facebook.com.eiye1uv.eu www.facebook.com.fasazad.eu www.facebook.com.mibbbad.co.uk www.facebook.com.mibbbad.me.uk www.facebook.com.mibbbad.org.uk www.facebook.com.mibbbah.co.uk www.facebook.com.mibbbah.org.uk www.facebook.com.mibbbal.co.uk www.facebook.com.poresawa.eu www.facebook.com.poresawd.eu www.facebook.com.poresawe.eu www.facebook.com.poresawg.eu www.facebook.com.poresawj.eu www.facebook.com.poresawo.eu www.facebook.com.poresawq.eu www.facebook.com.poresaws.eu www.facebook.com.poresawt.eu www.facebook.com.poresawu.eu www.facebook.com.poresawv.eu www.facebook.com.poresawx.eu www.facebook.com.qqqqasc.eu www.facebook.com.qqqqasd.eu www.facebook.com.qqqqasf.eu www.facebook.com.qqqqasg.eu www.facebook.com.qqqqash.eu www.facebook.com.qqqqasj.eu www.facebook.com.qqqqask.eu www.facebook.com.qqqqasl.eu www.facebook.com.qqqqaso.eu www.facebook.com.qqqqasr.eu www.facebook.com.qqqqasy.eu www.facebook.com.saaasak.eu www.facebook.com.saaasam.eu www.facebook.com.saaasav.eu www.facebook.com.sazzawf.co.uk www.facebook.com.sazzawf.eu www.facebook.com.sazzawf.me.uk www.facebook.com.sazzawk.co.uk www.facebook.com.sazzawk.eu www.facebook.com.sazzawk.me.uk www.facebook.com.sazzawl.co.uk www.facebook.com.sazzawl.eu www.facebook.com.sazzawl.me.uk www.facebook.com.sazzawy.co.uk www.facebook.com.sazzawy.me.uk www.facebook.com.xxxasqwa.eu www.facebook.com.xxxasqwe.eu www.facebook.com.xxxasqwi.eu www.facebook.com.xxxasqwk.eu www.facebook.com.xxxasqwl.eu www.facebook.com.xxxasqwo.eu www.facebook.com.xxxasqwp.eu www.facebook.com.xxxasqwr.eu www.facebook.com.xxxasqwt.eu www.facebook.com.xxxasqwu.eu www.facebook.com.xxxasqwy.eu www.facebook.com.xxxasqwz.eu www.facebook.com.yy1azsva.eu www.facebook.com.yy1azsvc.eu www.facebook.com.yy1azsvq.eu www.facebook.com.yy1azsvz.eu www.facebook.com.yyy1asvf.eu www.facebook.com.yyy1azsy.eu www.facebook.com.yyy1azvg.eu www.facebook.com.yyy1zsve.eu www.facebook.com.yyyazsvd.eu www.facebook.com.zaaaasaa.eu www.facebook.com.zaaaasaq.eu www.facebook.com.zaaaasaz.eu
いつもどおりFast-Fluxですが、ひとつおもしろい?特徴が、
HINFOに"Casio" "Calculator"というデータが、、、
これは何でしょう?
;eiye1uc.eu. IN ANY ;; ANSWER SECTION: eiye1uc.eu. 300 IN HINFO "Casio" "Calculator" eiye1uc.eu. 300 IN A 59.23.93.27 eiye1uc.eu. 300 IN A 77.105.60.16 eiye1uc.eu. 300 IN A 77.120.41.167 eiye1uc.eu. 300 IN A 78.37.218.28 eiye1uc.eu. 300 IN A 87.207.203.21 eiye1uc.eu. 300 IN A 92.81.182.79 eiye1uc.eu. 300 IN A 121.177.253.53 eiye1uc.eu. 300 IN A 124.80.224.3 eiye1uc.eu. 300 IN A 151.50.178.193 eiye1uc.eu. 300 IN A 187.10.31.47 eiye1uc.eu. 300 IN A 200.104.41.147 eiye1uc.eu. 300 IN A 217.44.159.56 eiye1uc.eu. 300 IN A 218.165.225.140 eiye1uc.eu. 300 IN A 218.171.111.1 eiye1uc.eu. 300 IN A 222.106.227.84 eiye1uc.eu. 300 IN SOA ns2.bifloner.net. hostmaster.eiye1uc.eu. 10048 60 120 3600 3600 eiye1uc.eu. 300 IN NS ns1.bifloner.net. eiye1uc.eu. 300 IN NS ns1.astor-hms.com. eiye1uc.eu. 300 IN NS ns2.bifloner.net. eiye1uc.eu. 300 IN NS ns2.astor-hms.com.
by jyake