cNotes 検索 一覧 カテゴリ

MySpace ..その他 - x.html型

Published: 2010/08/20

いつもどおりで、

  • MySpce(x.htmlがリンクとして埋め込まれているタイプ)
  • "resume"、"ACH"関連のメールで*.htmlファイルが添付されていてそのファイルを開くとx.htmlの設置されたサイトへ飛ばされるタイプ
  • 添付ファイルがhtmlではなく、zipファイルでマルウェアが添付されているタイプ

の3パターンがあります。


MySpaceの例は。

メールはこんなの。

リンクは、

 http://kidstylesource.com/x.html

そこにあるのは、いつも「4 SECOND」

一行目のMETAタグで、

今までは広告表示でしたが、今回はウィルチェックをしているようなアニメーションが表示されます。ただのアニメーションGIFです。

その裏で降ってくるのがこの二つ。それぞれFakeAVです。

 http://brocuphdislock.cz.cc/go/?afid=24&time=1282158029

http://www.virustotal.com/file-scan/report.html?id=6796ab6784b7fe4c944e7a57deb96fe2fcb1e93c9ff0ff667e02cbb310f105be-1282162387

 http://cetogilco.cz.cc/scanner10/codejs

http://www.virustotal.com/file-scan/report.html?id=22e92240084155e62ee3551dc8812eb5bb5bc1458cdbe1f067b58e8f59af5d38-1282271481

二行目のiframeは不明。。。


x.html添付型の場合は、今回はこのような難読化がされています。

この例では飛ばされるのは、

 http://jpswickedapparel.com/x.html

です。


   Domain Name: KIDSTYLESOURCE.COM
   Registrar: GODADDY.COM, INC.
   Whois Server: whois.godaddy.com
   Referral URL: http://registrar.godaddy.com
   Name Server: NS.INMOTIONHOSTING.COM
   Name Server: NS2.INMOTIONHOSTING.COM
   Status: clientDeleteProhibited
   Status: clientRenewProhibited
   Status: clientTransferProhibited
   Status: clientUpdateProhibited
   Updated Date: 09-oct-2009
   Creation Date: 19-oct-2006
   Expiration Date: 19-oct-2010
 
 
 205.134.254.208
 
 etRange:       205.134.254.0 - 205.134.255.255
 CIDR:           205.134.254.0/23
 OriginAS:       
 NetName:        CORPCOLO-NET-205-134-254-0-23
 NetHandle:      NET-205-134-254-0-1
 Parent:         NET-205-134-224-0-1
 NetType:        Reassigned
 RegDate:        2009-04-02
 Updated:        2009-04-02
 Ref:            http://whois.arin.net/rest/net/NET-205-134-254-0-1 
 
 CustName:       InMotion Hosting
 Address:        2211 Corinth Ave
 Address:        Suite 100
 City:           Los Angeles
 StateProv:      CA
 PostalCode:     90064
 Country:        US
 RegDate:        2009-04-02
 Updated:        2009-04-02
 Ref:            http://whois.arin.net/rest/customer/C02197067
 brocuphdislock.cz.cc
  
 195.16.91.61
 
 inetnum:        195.16.88.0 - 195.16.91.255
 netname:        NET-HOSTLIFE
 descr:          WIBO PROJECT LLC
 remarks:        HOSTLIFE DATACENTER
 country:        UA
 cetogilco.cz.cc
 
 74.117.63.81
 
 NetRange:       74.117.56.0 - 74.117.63.255
 CIDR:           74.117.56.0/21
 OriginAS:       AS40676
 NetName:        PSYCHZ-NETWORKS
 NetHandle:      NET-74-117-56-0-1
 Parent:         NET-74-0-0-0-0
 NetType:        Direct Allocation
 NameServer:     DNS2.PSYCHZ.NET
 NameServer:     DNS1.PSYCHZ.NET
 RegDate:        2009-08-27
 Updated:        2009-08-28
 Ref:            http://whois.arin.net/rest/net/NET-74-117-56-0-1
 
 OrgName:        Psychz Networks
 OrgId:          PSL-86
 Address:        20687-2 Amar Rd. #312
 City:           Walnut
 StateProv:      CA
 PostalCode:     91789
 Country:        US
 RegDate:        2008-02-20
 Updated:        2009-08-14
 Ref:            http://whois.arin.net/rest/org/PSL-86

[カテゴリ:spam観察日記]

by jyake