Outlookユーザーをターゲットとしたスパム
Published: 2009/06/17
というのがまた流行っているそうなので、また遅れ気味で調査してみました、、、、、
なるほど、6/3ごろからうちのスパムトラップで観測されていました。ま、典型的な、有名どころのソフトのアップデートを装うファイル添付型、誘導URL型のマルウェア感染誘発スパムですね。
典型パターンですが、スパムメールだけではなく、コメント投下型、掲示板書き込み型も平行して行われているようです。
Subjectは、このような感じですね。
Outlook Setup Notification TheBat Setup Notification Microsoft Outlook Setup Notification Outlook Express Setup Notification
これ以前のタイプがもしかしたらあるのかもしれませんが、文面は最初はこのような感じで添付されたファイル(マルウェア)の実行を促します。
You have (7) message from Outlook Express. Please re-configure your Microsoft Outlook again. Download attached setup file and install.
最初の頃は添付されるファイル名に数字が入ってました。
micr__outlook_update_6556.zip update_6556.zip
その後6/12ごろからこのようなファイル名が使われるようになりました。
client_update.zip
で、今はこのような文面に変化し、添付型から誘導URL型に変わってます。
You have 12 message from Microsoft Outlook. Please re-configure your Microsoft Outlook again. Download this file and setup http://liventsov.ru/Outlook_update.exe
liventsov.ru
は、ドメイン、IPアドレスは生きていますがサイト自体はすでにSuspendになっているようです。
domain: LIVENTSOV.RU type: CORPORATE nserver: ns1.multihost.ru. nserver: ns2.multihost.ru. state: REGISTERED, DELEGATED person: Maxim A Liventsov phone: +7 911 5612336 e-mail: maxi_ch@mail.ru e-mail: nic@multihost.ru registrar: RUCENTER-REG-RIPN created: 2007.12.17 paid-till: 2009.12.17 source: TC-RIPN
inetnum: 217.174.96.0 - 217.174.111.255 org: ORG-SL23-RIPE netname: RU-SUNET2000-20010411 descr: PROVIDER Local Registry descr: SUNET 2000 LLC country: RU admin-c: ISPA6-RIPE tech-c: ISPA6-RIPE status: ALLOCATED PA mnt-by: RIPE-NCC-HM-MNT mnt-lower: SUNET2000-MNT mnt-routes: SUNET2000-MNT changed: hostmaster@ripe.net 20010411 changed: hostmaster@ripe.net 20041019 source: RIPE
「OutlookどころかOutlook Expressっておいっ」って感じですが、まぁOutlookを使っている人がいるのなら、いまだに使っているような人、環境であるからこそ引っかかりやすいんでしょうね。。。
by jyake