Insurance of your business accounts - CVE2011-3544
Published: 2011/12/06
The Electronic Payments Association spamと同様の最終的にはJava JDKやJREの脆弱性狙い系のようです。
このような文面。
たとえば、文中のリンクはこんな感じで
http://gniusinfotech.com/cd18e5/index.html
そのindex.htmlの中身はこれ。
画面上はLoadingで
4つのうちどれかが当たればいいというノリ。冗長化。
試したときは、2,3行目のみ生きていました。
statecounters.js
のなかみはこれ。
さらにその飛び先の中身はこれ。
このスクリプト自体はCVE-2010-1885を利用のよう。
このスクリプトによってダウンロードされるjarファイル。。
g43kb6j34kblq6jh34kb6j3kl4.jar
の正体はこれ。(/43) CVE2010-0840?
v1.jar
の正体はこれ。(3/43) CVE2011-3544?
1段目メール文中のURLの特徴は
http://XXXXXXX/hhhhhh/index.html hhhhhh 6文字(asciiコード?16進数?)
2段目jsスクリプト保存先
proplastics.rs 217.26.70.100 inetnum: 217.26.70.0 - 217.26.70.255 netname: VERAT-NET descr: VERAT D.O.O descr: Hosting Department - Vhost descr: Gavrila Principa 58, 11000 Beograd country: CS
Domain Name: NAPAUL.COM Registrar: ENOM, INC. Whois Server: whois.enom.com Referral URL: http://www.enom.com Name Server: NS65.MDWEBHOSTING.COM.AU Name Server: NS66.MDWEBHOSTING.COM.AU Status: ok Updated Date: 20-sep-2010 Creation Date: 07-oct-2006 Expiration Date: 07-oct-2012 202.191.61.93 inetnum: 202.191.60.0 - 202.191.63.255 netname: NETREGISTRY descr: Netregistry Pty Ltd country: AU
Domain Name: sashandbow.com.au Last Modified: 19-Jul-2010 11:09:12 UTC Registrar ID: NetRegistry Registrar Name: NetRegistry Status: ok 70.87.76.162 NetRange: 70.84.0.0 - 70.87.255.255 CIDR: 70.84.0.0/14 OriginAS: AS36420, AS30315, AS13749, AS21844 NetName: NETBLK-THEPLANET-BLK-13 NetHandle: NET-70-84-0-0-1 Parent: NET-70-0-0-0-0 NetType: Direct Allocation RegDate: 2004-07-29 Updated: 2009-02-24 OrgName: ThePlanet.com Internet Services, Inc. OrgId: TPCM Country: US
Domain: rodns Registrant: NOT DISCLOSED! Visit www.eurid.eu for webbased whois. Registrar Technical Contacts: Name: Claudiu Cadar Organisation: CLAUS WEB srl Language: ro Phone: +40.261768580 Fax: +40.261768580 Email: info@clausweb.ro 85.9.19.61 inetnum: 85.9.19.0 - 85.9.19.255 netname: RO-GTSTELECOM-CLAUSWEB_SRL descr: Claus Web srl descr: Corvinilor, 5/D8 descr: Satu Mare Satu Mare 440096 country: RO
3,4段目jarファイル保存先
Domain Name: DOHTURBOOB.COM Registrar: DIRECTNIC, LTD Whois Server: whois.directnic.com Referral URL: http://www.directnic.com Name Server: NS0.DIRECTNIC.COM Name Server: NS1.DIRECTNIC.COM Status: clientDeleteProhibited Status: clientTransferProhibited Status: clientUpdateProhibited Updated Date: 05-dec-2011 Creation Date: 28-nov-2011 Expiration Date: 28-nov-2012 193.106.174.223 inetnum: 193.106.172.0 - 193.106.175.255 netname: IQHost descr: IQHost Ltd country: RU
by jyake