cNotes 検索 一覧 カテゴリ

Facebook - index-include.htm

Published: 2012/04/08

観測日: 2012/4/5

通数: 700通/day

手法: 文中のリンクをクリックさせることで、マルウェアダウンロードサイトへ誘導

目的: マルウェア感染

特徴:

CVE-2011-3544からひきつづき最近ではCVE-2012-0507を利用するようになった攻撃のバリエーションの一つ。手法も4月タイプの他の手法と同じ。

URLの特徴が「index-include.htm」

これもwordpressを利用しているサイトが改竄されてるものと思われます。

最後の段階で飛ばされるマルウェア配布用の攻撃サイト本体に日本のsakuraのホスティングサービスが利用されてます。


このような文面。このタイプのfacebookネタは以前もありました。

誘導URLはこれ。

 http://www.qztrade.com/admin/index-include.htm? 
 AHD=WV2WSG0GFK5Y3I&FWG=30I19Y665EIK5WTUM6&YBJX=1HRO0J3KEK1TF&2KQ6Y=O50WFKEWGDR4
 552&5VC88=K89YC8TGRC1R9WU&

その中身は最近の他の攻撃と同じ。

4月バージョンになってからの手法で、ダウンロード用のサイトはたくさんあって

耐障害性が高められています。

domainpath
http://78.83.233.242:8080/navigator/jueoaritjuir.php
http://78.83.233.242:8080/navigator/jtfrataqhnjrksk.jar
http://78.83.233.242:8080/navigator/eobscwyuapjw.jar
http://78.83.233.242:8080/navigator/auxqfudmbuiwg4.pdf
http://211.44.250.173:8080/navigator/jueoaritjuir.php
http://211.44.250.173:8080/navigator/jtfrataqhnjrksk.jar
http://211.44.250.173:8080/navigator/eobscwyuapjw.jar
http://211.44.250.173:8080/navigator/auxqfudmbuiwg4.pdf
http://62.85.27.129:8080/navigator/jueoaritjuir.php
http://62.85.27.129:8080/navigator/jtfrataqhnjrksk.jar
http://62.85.27.129:8080/navigator/eobscwyuapjw.jar
http://62.85.27.129:8080/navigator/auxqfudmbuiwg4.pdf
http://41.168.5.140:8080/navigator/jueoaritjuir.php
http://41.168.5.140:8080/navigator/jtfrataqhnjrksk.jar
http://41.168.5.140:8080/navigator/eobscwyuapjw.jar
http://41.168.5.140:8080/navigator/auxqfudmbuiwg4.pdf
http://219.94.194.138:8080/navigator/jueoaritjuir.php
http://219.94.194.138:8080/navigator/jtfrataqhnjrksk.jar
http://219.94.194.138:8080/navigator/eobscwyuapjw.jar
http://219.94.194.138:8080/navigator/auxqfudmbuiwg4.pdf

ダウンロードされるファイルはこれら。

 auxqfudmbuiwg4.pdf 

https://www.virustotal.com/file/7575f12a047c040ab401a703092f7ef48c3eacbbe0260cccdc1bf0f5611bad75/analysis/1333792015/

(29/42)

 eobscwyuapjw.jar

https://www.virustotal.com/file/4610519b1e52f913c9469b9de99a710caf2f5a6dab45fbc5804c46be9868a65d/analysis/1333792206/

(27/42)

 jtfrataqhnjrksk.jar

https://www.virustotal.com/file/1716b67e2bd043f59fea51caf144066503717c583a12be837beee14a8729ddc0/analysis/1333792310/

(24/41)

 frf3.php?i=8

https://www.virustotal.com/file/1dec65603f1570ce8b02349bbe672fd9d2e72f850c42e013e67d1d81f33074e9/analysis/1333792527/

(12/42)

3月までの攻撃に比べれば検出率はいいです。


site逆引きASAS name
219.94.194.138NONE9371SAKURA-C_SAKURA_Internet_Inc.JP
41.168.5.140NONE36937Neotel-ASZA
62.85.27.129sw-gbit-1.gw.27-129.ime.lv.39201IMEPLUSS-AS_IME_PLUSS_Ltd.LV
211.44.250.173NONE9318HANARO-AS_Hanaro_Telecom_Inc.KR
78.83.233.242ns.streambg.net.47366MVN-AS_MVN_Systems_LtdBG

攻撃サイトは、日本、南アフリカ共和国、ラトビア、韓国、ブルガリアにあり

日本のsakuraのホスティングサービスも利用されています。

[カテゴリ:spam観察日記]

by jyake