cNotes 検索 一覧 カテゴリ

Fake celebrity videoでマルウェア感染に誘導するスパム

Published: 2008/09/21

以前から同系統のスパムはありましたが、これは9/20に一日だけ観測されたスパムです。

文面はいろいろありますが、例えばこんなシンプルなもの。

メール文中に埋め込まれているリンクにはこのようなバリエーションがあります。

 3design.dekonshock.com/*/*.php
 davehill.biz/*/*.php
 dayofearth.org/*/*.php
 denbun.mad.buttobi.net/*/*.php
 deportivoagustinos.com/*/*.php
 detectiveoliveira.com/*/*.php
 djclubbing.com/*/*.php
 drprojects.com/*/*.php
 drustvovezi.org/*/*.php
 guardioladigital.com/*/*.php
 nobbis.com.ar/*/*.php
 www.desarrolloenweb.com.ar/*/*.php
 www.diegosuarez.net/*/*.php
 www.dmdcomputer.pl/*/*.php

これらはいつものごとくリダイレクタで、

 <meta HTTP-EQUIV="Refresh" CONTENT="0; URL=79.135.167.49/*/*.html">

で、もう一回別のjavascriptた仕込まれたHTMLファイルを読み込ませて、マルウェア本体

 parixxx.avi.exe

をダウンロードさせようとします。

画面はこんな感じになります。Zlobとかでもよく見る画面ですね。

これは何かということ、こういったものらしい。

リダイレクタの設置サイトは世界中に散らばっていて、BBSサイトや乗っ取られた?一般サイトに仕掛けられています。見てわかるとおり日本にもあります。

またマルウェア本体が提供されているサイトはトルコのISTANBUL TELECOMにあります。ハニーポットで観測されているデータではトルコはメジャーなのでいつものとおりといった感じでしょうか。

 inetnum:        79.135.167.0 - 79.135.167.255
 netname:        ISTANBUL-TELEKOM
 descr:          ISTANBUL TELEKOM TR
 country:        TR
 admin-c:        ist1907-RIPE
 tech-c:         ist1907-RIPE
 status:         ASSIGNED PA
 mnt-by:         ist-tel-mnt
 source:         RIPE

よくよく調べてみると、スパムメールだけでなくコメントスパムでも利用されたようです。

マルウェア配布の仕掛けとしては、サイト構造、リンク構造的にも、単純なつくりの部類に属しますので、スパムチェックではURIBL、ウェブアクセスではURLフィルタなどで対策可能です。一般サイトが利用されている点が引っかかりますが、通常の用途ではアクセスすることはほぼ考えられないドメインなので完全ブロックという選択もとりやすいですかね。それでもクリックする人はいるのでしょうけど、、、

[カテゴリ:spam観察日記]

by jyake