Facebook - index-include.htm
Published: 2012/04/08
観測日: 2012/4/5
通数: 700通/day
手法: 文中のリンクをクリックさせることで、マルウェアダウンロードサイトへ誘導
目的: マルウェア感染
特徴:
CVE-2011-3544からひきつづき最近ではCVE-2012-0507を利用するようになった攻撃のバリエーションの一つ。手法も4月タイプの他の手法と同じ。
URLの特徴が「index-include.htm」
これもwordpressを利用しているサイトが改竄されてるものと思われます。
最後の段階で飛ばされるマルウェア配布用の攻撃サイト本体に日本のsakuraのホスティングサービスが利用されてます。
このような文面。このタイプのfacebookネタは以前もありました。
誘導URLはこれ。
http://www.qztrade.com/admin/index-include.htm? AHD=WV2WSG0GFK5Y3I&FWG=30I19Y665EIK5WTUM6&YBJX=1HRO0J3KEK1TF&2KQ6Y=O50WFKEWGDR4 552&5VC88=K89YC8TGRC1R9WU&
その中身は最近の他の攻撃と同じ。
4月バージョンになってからの手法で、ダウンロード用のサイトはたくさんあって
耐障害性が高められています。
domain | path |
---|---|
http://78.83.233.242:8080 | /navigator/jueoaritjuir.php |
http://78.83.233.242:8080 | /navigator/jtfrataqhnjrksk.jar |
http://78.83.233.242:8080 | /navigator/eobscwyuapjw.jar |
http://78.83.233.242:8080 | /navigator/auxqfudmbuiwg4.pdf |
http://211.44.250.173:8080 | /navigator/jueoaritjuir.php |
http://211.44.250.173:8080 | /navigator/jtfrataqhnjrksk.jar |
http://211.44.250.173:8080 | /navigator/eobscwyuapjw.jar |
http://211.44.250.173:8080 | /navigator/auxqfudmbuiwg4.pdf |
http://62.85.27.129:8080 | /navigator/jueoaritjuir.php |
http://62.85.27.129:8080 | /navigator/jtfrataqhnjrksk.jar |
http://62.85.27.129:8080 | /navigator/eobscwyuapjw.jar |
http://62.85.27.129:8080 | /navigator/auxqfudmbuiwg4.pdf |
http://41.168.5.140:8080 | /navigator/jueoaritjuir.php |
http://41.168.5.140:8080 | /navigator/jtfrataqhnjrksk.jar |
http://41.168.5.140:8080 | /navigator/eobscwyuapjw.jar |
http://41.168.5.140:8080 | /navigator/auxqfudmbuiwg4.pdf |
http://219.94.194.138:8080 | /navigator/jueoaritjuir.php |
http://219.94.194.138:8080 | /navigator/jtfrataqhnjrksk.jar |
http://219.94.194.138:8080 | /navigator/eobscwyuapjw.jar |
http://219.94.194.138:8080 | /navigator/auxqfudmbuiwg4.pdf |
ダウンロードされるファイルはこれら。
auxqfudmbuiwg4.pdf
(29/42)
eobscwyuapjw.jar
(27/42)
jtfrataqhnjrksk.jar
(24/41)
frf3.php?i=8
(12/42)
3月までの攻撃に比べれば検出率はいいです。
site | 逆引き | AS | AS name | 国 |
---|---|---|---|---|
219.94.194.138 | NONE | 9371 | SAKURA-C_SAKURA_Internet_Inc. | JP |
41.168.5.140 | NONE | 36937 | Neotel-AS | ZA |
62.85.27.129 | sw-gbit-1.gw.27-129.ime.lv. | 39201 | IMEPLUSS-AS_IME_PLUSS_Ltd. | LV |
211.44.250.173 | NONE | 9318 | HANARO-AS_Hanaro_Telecom_Inc. | KR |
78.83.233.242 | ns.streambg.net. | 47366 | MVN-AS_MVN_Systems_Ltd | BG |
攻撃サイトは、日本、南アフリカ共和国、ラトビア、韓国、ブルガリアにあり
日本のsakuraのホスティングサービスも利用されています。
by jyake