cNotes 検索 一覧 カテゴリ

Facebook Malicious Video Link Spam

Published: 2009/03/04

昨日書いた「Classmates Malicious Video Link Spam」のバリエーションがもう観測されました。

facebookのようなメールが届き、

URLはフィッシング的なfacebookを連想させる感じで、

 login.facebook.referencenumber.videomessageid-fnvdaz923.forwardpatchplayer.com/home.htm?/serveronline/
 login.facebook.reload.videomessageid-68rlkx0nn.sessionnewid83.com/home.htm?/ibsweb/
 login.facebook.secureconnection.videomessageid-8urdmfb7j.patchvideoplayers.com/home.htm?/identification/
 login.facebook.secureconnection.videomessageid-wcca35az9.getplayerdownload.com/home.htm?/usermanage/
 login.facebook.securedocuments.videomessageid-k7hqmaiwn.forwardpatchplayer.com/home.htm?/alternative/
 login.facebook.securedocuments.videomessageid-l2bpi9ynn.sessionnewid83.com/home.htm?/forms/
 login.facebook.securedocuments.videomessageid-wv5cv7zlc.getplayerdownload.com/home.htm?/usermanage/
 login.facebook.servlet.videomessageid-is33twxa2.sessionnewid83.com/home.htm?/disbursements/
 login.facebook.startpagin.videomessageid-g2tskkc0s.forwardpatchplayer.com/home.htm?/reload/
 login.facebook.statement.videomessageid-ap61kudmz.sessionnewid83.com/home.htm?/alternative/
 login.facebook.statement.videomessageid-z1qf5mv3p.patchvideoplayers.com/home.htm?/ibsweb/
 login.facebook.subject.videomessageid-4z3fnrx6e.forwardpatchplayer.com/home.htm?/statement/
 login.facebook.subject.videomessageid-szb5i6w9k.getplayerdownload.com/home.htm?/content/
 login.facebook.tools.videomessageid-2x67pe1ub.getplayerdownload.com/home.htm?/process/
 login.facebook.type.videomessageid-7jh01qmmy.patchvideoplayers.com/home.htm?/intvitation/

これをダウンロードさせようとします。

 Adobe_Player11.exe

ViruTotal先生の結果です。一時期話題になった情報を盗むトロイですね。なんだろう、これも、解析でよく使うアンチウィルスには対応しているけど、日本でよく使われている系のソフトがまったく未検出に見えますね。こまったものだ。日本人が誘導されるような感染トリガーがなければいいなと思います。

昨日と共通のドメインもありますが、新規に追加されたドメインは、

   Domain Name: PATCHVIDEOPLAYERS.COM
   Registrar: BIZCN.COM, INC.
   Whois Server: whois.bizcn.com
   Referral URL: http://www.bizcn.com
   Name Server: NS1.DEMOLOCATIONX.COM
   Name Server: NS2.DEMOLOCATIONX.COM
   Status: clientDeleteProhibited
   Status: clientTransferProhibited
   Updated Date: 01-mar-2009
   Creation Date: 01-mar-2009
   Expiration Date: 01-mar-2010

レジストラントが変わってます。

 Registrant Contact:
   Carrie Page Corl
   Carrie Littlepage bill@will.com
   5073582682 fax: 5073582682
   224 Chester Road
   Devon PA 19333
   us

IPアドレスも増えていますね。アメリカ系です。

 24.121.54.157
 68.45.12.57
 71.195.128.169
 71.239.156.182
 75.49.207.235

これもすぐに手仕舞いしてつぎのバリエーションに移ることでしょう。

[カテゴリ:spam観察日記]

by jyake