Fake celebrity videoでマルウェア感染に誘導するスパム
Published: 2008/09/21
以前から同系統のスパムはありましたが、これは9/20に一日だけ観測されたスパムです。
文面はいろいろありますが、例えばこんなシンプルなもの。
メール文中に埋め込まれているリンクにはこのようなバリエーションがあります。
3design.dekonshock.com/*/*.php davehill.biz/*/*.php dayofearth.org/*/*.php denbun.mad.buttobi.net/*/*.php deportivoagustinos.com/*/*.php detectiveoliveira.com/*/*.php djclubbing.com/*/*.php drprojects.com/*/*.php drustvovezi.org/*/*.php guardioladigital.com/*/*.php nobbis.com.ar/*/*.php www.desarrolloenweb.com.ar/*/*.php www.diegosuarez.net/*/*.php www.dmdcomputer.pl/*/*.php
これらはいつものごとくリダイレクタで、
<meta HTTP-EQUIV="Refresh" CONTENT="0; URL=79.135.167.49/*/*.html">
で、もう一回別のjavascriptた仕込まれたHTMLファイルを読み込ませて、マルウェア本体
parixxx.avi.exe
をダウンロードさせようとします。
画面はこんな感じになります。Zlobとかでもよく見る画面ですね。
これは何かということ、こういったものらしい。
リダイレクタの設置サイトは世界中に散らばっていて、BBSサイトや乗っ取られた?一般サイトに仕掛けられています。見てわかるとおり日本にもあります。
またマルウェア本体が提供されているサイトはトルコのISTANBUL TELECOMにあります。ハニーポットで観測されているデータではトルコはメジャーなのでいつものとおりといった感じでしょうか。
inetnum: 79.135.167.0 - 79.135.167.255 netname: ISTANBUL-TELEKOM descr: ISTANBUL TELEKOM TR country: TR admin-c: ist1907-RIPE tech-c: ist1907-RIPE status: ASSIGNED PA mnt-by: ist-tel-mnt source: RIPE
よくよく調べてみると、スパムメールだけでなくコメントスパムでも利用されたようです。
マルウェア配布の仕掛けとしては、サイト構造、リンク構造的にも、単純なつくりの部類に属しますので、スパムチェックではURIBL、ウェブアクセスではURLフィルタなどで対策可能です。一般サイトが利用されている点が引っかかりますが、通常の用途ではアクセスすることはほぼ考えられないドメインなので完全ブロックという選択もとりやすいですかね。それでもクリックする人はいるのでしょうけど、、、
by jyake