Obama and McCain
Published: 2008/11/06
スパムネタが続きますが、、、
いつもどおり、時事ネタ、大きなイベントを利用したフィッシングやマルウェア配布が行われています。
オバマさんネタ
今回も誘導URLが長い。
services.rnalid.servletdologin.h57rmszom.siteminderagent.comreportid. kcnp9z9s5.bfiinwach.com/president.htm?/doexte/certificateupdate/OSL.htm?LOGIN=xxxxxxx&VERIFY=xxxxxxx
やはりゾンビPCっぽいですね。
;; QUESTION SECTION: ;services.rnalid.servletdologin.h57rmszom.siteminderagent.comreportid.kcnp9z9s5.bfiinwach.com. IN A ;; ANSWER SECTION: services.rnalid.servletdologin.h57rmszom.siteminderagent.comreportid.kcnp9z9s5.bfiinwach.com. 300 IN A 70.55.41.248 services.rnalid.servletdologin.h57rmszom.siteminderagent.comreportid.kcnp9z9s5.bfiinwach.com. 300 IN A 85.250.54.105 services.rnalid.servletdologin.h57rmszom.siteminderagent.comreportid.kcnp9z9s5.bfiinwach.com. 300 IN A 87.3.36.91 services.rnalid.servletdologin.h57rmszom.siteminderagent.comreportid.kcnp9z9s5.bfiinwach.com. 300 IN A 124.28.50.244 services.rnalid.servletdologin.h57rmszom.siteminderagent.comreportid.kcnp9z9s5.bfiinwach.com. 300 IN A 213.37.26.43 ;; AUTHORITY SECTION: bfiinwach.com. 300 IN NS ns1.spritsonline.net. bfiinwach.com. 300 IN NS ns2.spritsonline.net.
ドメインも取得してすぐ使用。
Domain Name: BFIINWACH.COM Registrar: BIZCN.COM, INC. Whois Server: whois.bizcn.com Referral URL: http://www.bizcn.com Name Server: NS1.SPRITSONLINE.NET.20081105.RCOM-DNS.NET Name Server: NS2.SPRITSONLINE.NET.20081105.RCOM-DNS.NET Status: ok Updated Date: 05-nov-2008 Creation Date: 04-nov-2008 Expiration Date: 04-nov-2009
うん、典型的パターンですね。以前から中国さんからの攻撃でよくみたパターンですが、標準的な手法となったのでしょうか?
ダウンロードさせようとするファイルは、
adobe_flash9.exe
これも有る意味時事ネタですね。
で、Virustotal先生に聞いてみるとこんな感じです。
マケインさんネタ。
これは確認した時点ではアクセスできませんでした。
by jyake