Insurance of your business accounts - CVE2011-3544

The Electronic Payments Association spamと同様の最終的にはJava JDKやJREの脆弱性狙い系のようです。

このような文面。

たとえば、文中のリンクはこんな感じで

 ｈttp：//gniusinfotech.com/cd18e5/index.html

そのindex.htmlの中身はこれ。

画面上はLoadingで

４つのうちどれかが当たればいいというノリ。冗長化。

試したときは、２，３行目のみ生きていました。

 statecounters.js

のなかみはこれ。

さらにその飛び先の中身はこれ。

このスクリプト自体はCVE-2010-1885を利用のよう。

このスクリプトによってダウンロードされるjarファイル。。

 g43kb6j34kblq6jh34kb6j3kl4.jar

の正体はこれ。(/43)　CVE2010-0840？

http://www.virustotal.com/file-scan/report.html?id=c96603aebe2784b0f94a3c737de210c73ebd60b56727487b5efba372020d6e6a-1323146361

 v1.jar

の正体はこれ。（3/43） CVE2011-3544？

http://www.virustotal.com/file-scan/report.html?id=ff1a5af6d2a788ade35039cdbefc926bae90cc84c13022d5df53a0f604bf4c6e-1323144307

1段目メール文中のURLの特徴は

 http://XXXXXXX/hhhhhh/index.html
 
 hhhhhh   6文字（asciiコード？16進数?）

2段目jsスクリプト保存先

 proplastics.rs
 
 217.26.70.100
 inetnum:      217.26.70.0 - 217.26.70.255
 netname:      VERAT-NET
 descr:        VERAT D.O.O
 descr:        Hosting Department - Vhost
 descr:        Gavrila Principa 58, 11000 Beograd
 country:      CS

   Domain Name: NAPAUL.COM
   Registrar: ENOM, INC.
   Whois Server: whois.enom.com
   Referral URL: http://www.enom.com
   Name Server: NS65.MDWEBHOSTING.COM.AU
   Name Server: NS66.MDWEBHOSTING.COM.AU
   Status: ok
   Updated Date: 20-sep-2010
   Creation Date: 07-oct-2006
   Expiration Date: 07-oct-2012
 
 202.191.61.93
 inetnum:        202.191.60.0 - 202.191.63.255
 netname:        NETREGISTRY
 descr:          Netregistry Pty Ltd
 country:        AU

 Domain Name:                     sashandbow.com.au
 Last Modified:                   19-Jul-2010 11:09:12 UTC
 Registrar ID:                    NetRegistry
 Registrar Name:                  NetRegistry
 Status:                          ok
 
 70.87.76.162
 
 NetRange:       70.84.0.0 - 70.87.255.255
 CIDR:           70.84.0.0/14
 OriginAS:       AS36420, AS30315, AS13749, AS21844
 NetName:        NETBLK-THEPLANET-BLK-13
 NetHandle:      NET-70-84-0-0-1
 Parent:         NET-70-0-0-0-0
 NetType:        Direct Allocation
 RegDate:        2004-07-29
 Updated:        2009-02-24
 OrgName:        ThePlanet.com Internet Services, Inc.
 OrgId:          TPCM
 Country:        US

 Domain:	rodns
 
 Registrant:
 	NOT DISCLOSED!
 	Visit www.eurid.eu for webbased whois.
 
 Registrar Technical Contacts:
	Name:	Claudiu Cadar
	Organisation:	CLAUS WEB srl
	Language:	ro
	Phone:	+40.261768580
	Fax:	+40.261768580
	Email:	info@clausweb.ro
 
 85.9.19.61
  
 inetnum:         85.9.19.0 - 85.9.19.255
 netname:         RO-GTSTELECOM-CLAUSWEB_SRL
 descr:           Claus Web srl
 descr:           Corvinilor, 5/D8
 descr:           Satu Mare Satu Mare 440096
 country:         RO

3,4段目jarファイル保存先

   Domain Name: DOHTURBOOB.COM
   Registrar: DIRECTNIC, LTD
   Whois Server: whois.directnic.com
   Referral URL: http://www.directnic.com
   Name Server: NS0.DIRECTNIC.COM
   Name Server: NS1.DIRECTNIC.COM
   Status: clientDeleteProhibited
   Status: clientTransferProhibited
   Status: clientUpdateProhibited
   Updated Date: 05-dec-2011
   Creation Date: 28-nov-2011
   Expiration Date: 28-nov-2012
 
 193.106.174.223
 inetnum:        193.106.172.0 - 193.106.175.255
 netname:        IQHost
 descr:          IQHost Ltd
 country:        RU

[カテゴリ:spam観察日記]

by jyake