cNotes 検索 一覧 カテゴリ

Facebookを騙るスパム - Facebook Password Change

Published: 2011/11/25

関連

似たようなパターンは数年前から観測されています。


「パスワード変えないとフィッシング被害にあっちゃうよっ」というメールでマルウェアに感染させようとします。

で、アクセスすると、ジャンプして

 http://session100734343.facebook.com.mdrrdl.com/confirm/req/

みたいなURLに飛ばされます。

ZeuS/zbot - VISAカードの不正利用警告を騙って 2」や「IRSを騙るスパム5」で使われていた系統のURLですね。

結局flash updateしろと。

 

 updateflash.exe

の正体はこれ(6/43)

http://www.virustotal.com/file-scan/report.html?id=85ef7c7099e714fb30bf2f3a7c7992627124d70ec0939f476af2bd849e90fa77-1322197608


メールの文中で利用されるURLの例

特徴は

 zus.php

ZeuSってこと?

domainpath
medicaleffects.nlzus.php
mummaclub.com.arzus.php
pimalu.com.arzus.php
www.ks-birkenmeier.dezus.php
meggainsumos.com.arzus.php
kiwiindia.co.nzzus.php
nmwo.nlzus.php
britishbricklayingsydney.com.auzus.php

AS情報等をしらべるとこんな感じ。
domainip逆引きASAS name
medicaleffects.nl109.237.208.237www.tyrion.nl.38930FIBERRING_FiberRing_B.V.Netherlands
mummaclub.com.ar190.210.100.80cp11.wiroos.com.16814NSS_S.A.Argentina
pimalu.com.ar174.142.68.123server2.nombre-del-dominio.com.32613IWEB-AS_-_iWeb_Technologies_Inc.Canada
www.ks-birkenmeier.de62.146.22.3minne.gra.de.15598IP-EXCHANGE_IP_Exchange_GmbHGermany
meggainsumos.com.ar200.58.119.66cuba.dattaweb.com.27823Dattatec.comArgentina
kiwiindia.co.nz66.7.199.212south.host-care.com.33182DIMENOC---HOSTDIME_-_HostDime.com_Inc.UnitedStates
nmwo.nl213.188.130.110web.newweb.active24.com.12994Active_24_ASNorway

最近良くお目見えのアルゼンチンですね。

[カテゴリ:spam観察日記]

by jyake