MySpace ..その他 - x.html型
Published: 2010/08/20
いつもどおりで、
- MySpce(x.htmlがリンクとして埋め込まれているタイプ)
- "resume"、"ACH"関連のメールで*.htmlファイルが添付されていてそのファイルを開くとx.htmlの設置されたサイトへ飛ばされるタイプ
- 添付ファイルがhtmlではなく、zipファイルでマルウェアが添付されているタイプ
の3パターンがあります。
MySpaceの例は。
メールはこんなの。
リンクは、
http://kidstylesource.com/x.html
そこにあるのは、いつも「4 SECOND」
一行目のMETAタグで、
今までは広告表示でしたが、今回はウィルチェックをしているようなアニメーションが表示されます。ただのアニメーションGIFです。
その裏で降ってくるのがこの二つ。それぞれFakeAVです。
http://brocuphdislock.cz.cc/go/?afid=24&time=1282158029
http://cetogilco.cz.cc/scanner10/codejs
二行目のiframeは不明。。。
x.html添付型の場合は、今回はこのような難読化がされています。
この例では飛ばされるのは、
http://jpswickedapparel.com/x.html
です。
Domain Name: KIDSTYLESOURCE.COM Registrar: GODADDY.COM, INC. Whois Server: whois.godaddy.com Referral URL: http://registrar.godaddy.com Name Server: NS.INMOTIONHOSTING.COM Name Server: NS2.INMOTIONHOSTING.COM Status: clientDeleteProhibited Status: clientRenewProhibited Status: clientTransferProhibited Status: clientUpdateProhibited Updated Date: 09-oct-2009 Creation Date: 19-oct-2006 Expiration Date: 19-oct-2010 205.134.254.208 etRange: 205.134.254.0 - 205.134.255.255 CIDR: 205.134.254.0/23 OriginAS: NetName: CORPCOLO-NET-205-134-254-0-23 NetHandle: NET-205-134-254-0-1 Parent: NET-205-134-224-0-1 NetType: Reassigned RegDate: 2009-04-02 Updated: 2009-04-02 Ref: http://whois.arin.net/rest/net/NET-205-134-254-0-1 CustName: InMotion Hosting Address: 2211 Corinth Ave Address: Suite 100 City: Los Angeles StateProv: CA PostalCode: 90064 Country: US RegDate: 2009-04-02 Updated: 2009-04-02 Ref: http://whois.arin.net/rest/customer/C02197067
brocuphdislock.cz.cc 195.16.91.61 inetnum: 195.16.88.0 - 195.16.91.255 netname: NET-HOSTLIFE descr: WIBO PROJECT LLC remarks: HOSTLIFE DATACENTER country: UA
cetogilco.cz.cc 74.117.63.81 NetRange: 74.117.56.0 - 74.117.63.255 CIDR: 74.117.56.0/21 OriginAS: AS40676 NetName: PSYCHZ-NETWORKS NetHandle: NET-74-117-56-0-1 Parent: NET-74-0-0-0-0 NetType: Direct Allocation NameServer: DNS2.PSYCHZ.NET NameServer: DNS1.PSYCHZ.NET RegDate: 2009-08-27 Updated: 2009-08-28 Ref: http://whois.arin.net/rest/net/NET-74-117-56-0-1 OrgName: Psychz Networks OrgId: PSL-86 Address: 20687-2 Amar Rd. #312 City: Walnut StateProv: CA PostalCode: 91789 Country: US RegDate: 2008-02-20 Updated: 2009-08-14 Ref: http://whois.arin.net/rest/org/PSL-86
by jyake