Outlookユーザーをターゲットとしたスパム 追記
Published: 2009/06/19
ちょっとだけ文面と誘導URLが変わったということで。
fedynec.com.uaはそのままドメインもIPアドレスもウクライナ。
domain: fedynec.com.ua admin-c: TF46-UANIC tech-c: SV10-UANIC status: OK-UNTIL 20090620140040 dom-public: NO nserver: ns1.ukrhosting.com nserver: ns2.ukrhosting.com mnt-by: UARR19-UANIC (ua.ukrhosting) remark: changed: SV10-UANIC 20080620140041 source: UANIC nic-handle: TF46-UANIC person: Taras Fedunets address: Sadova Str., 9 address: 79021 LVIV address: UA phone: +380 (32) 2920448 e-mail: tarasfedynec@gmail.com mnt-by: NONE changed: TF46-UANIC 20080620135534 source: UANIC
fedynec.com.ua. 300 IN A 91.196.0.73 ;; AUTHORITY SECTION: fedynec.com.ua. 300 IN NS ns1.ukrhosting.com. fedynec.com.ua. 300 IN NS ns2.ukrhosting.com. ;; ADDITIONAL SECTION: ns1.ukrhosting.com. 300 IN A 216.240.57.206 ns2.ukrhosting.com. 300 IN A 91.196.0.7
inetnum: 91.196.0.0 - 91.196.3.255 netname: HOSTBIZUA-NET descr: HostBizUa Data Center country: UA org: ORG-SGOS1-RIPE admin-c: VD891-RIPE tech-c: VD891-RIPE status: ASSIGNED PI notify: msil@hostbizua.com mnt-by: HOSTBIZUA-MNT mnt-by: RIPE-NCC-HM-PI-MNT mnt-lower: RIPE-NCC-HM-PI-MNT mnt-routes: HOSTBIZUA-MNT mnt-domains: HOSTBIZUA-MNT changed: hostmaster@ripe.net 20070514 source: RIPE
このOutlookを狙ったというスパムって結局以前からあるecard系のスパムのバリエーションだったんですね。
こんな感じで同じドメインを利用してファイル名は異なりますが、実は同じマルウェアを踏ませようとするスパムが同時に送出されていました。
ecard.exe ⇒
by jyake