Facebookを騙るスパム - Facebook Password Change
Published: 2011/11/25
関連
似たようなパターンは数年前から観測されています。
「パスワード変えないとフィッシング被害にあっちゃうよっ」というメールでマルウェアに感染させようとします。
で、アクセスすると、ジャンプして
http://session100734343.facebook.com.mdrrdl.com/confirm/req/
みたいなURLに飛ばされます。
「ZeuS/zbot - VISAカードの不正利用警告を騙って 2」や「IRSを騙るスパム5」で使われていた系統のURLですね。
結局flash updateしろと。
updateflash.exe
の正体はこれ(6/43)
メールの文中で利用されるURLの例
特徴は
zus.php
ZeuSってこと?
domain | path |
---|---|
medicaleffects.nl | zus.php |
mummaclub.com.ar | zus.php |
pimalu.com.ar | zus.php |
www.ks-birkenmeier.de | zus.php |
meggainsumos.com.ar | zus.php |
kiwiindia.co.nz | zus.php |
nmwo.nl | zus.php |
britishbricklayingsydney.com.au | zus.php |
AS情報等をしらべるとこんな感じ。
domain | ip | 逆引き | AS | AS name | 国 |
---|---|---|---|---|---|
medicaleffects.nl | 109.237.208.237 | www.tyrion.nl. | 38930 | FIBERRING_FiberRing_B.V. | Netherlands |
mummaclub.com.ar | 190.210.100.80 | cp11.wiroos.com. | 16814 | NSS_S.A. | Argentina |
pimalu.com.ar | 174.142.68.123 | server2.nombre-del-dominio.com. | 32613 | IWEB-AS_-_iWeb_Technologies_Inc. | Canada |
www.ks-birkenmeier.de | 62.146.22.3 | minne.gra.de. | 15598 | IP-EXCHANGE_IP_Exchange_GmbH | Germany |
meggainsumos.com.ar | 200.58.119.66 | cuba.dattaweb.com. | 27823 | Dattatec.com | Argentina |
kiwiindia.co.nz | 66.7.199.212 | south.host-care.com. | 33182 | DIMENOC---HOSTDIME_-_HostDime.com_Inc. | UnitedStates |
nmwo.nl | 213.188.130.110 | web.newweb.active24.com. | 12994 | Active_24_AS | Norway |
最近良くお目見えのアルゼンチンですね。
by jyake