cNotes 検索 一覧 カテゴリ

Outlookユーザーをターゲットとしたスパム 追記

Published: 2009/06/19

ちょっとだけ文面と誘導URLが変わったということで。

fedynec.com.uaはそのままドメインもIPアドレスもウクライナ。

 domain:     fedynec.com.ua
 admin-c:    TF46-UANIC
 tech-c:     SV10-UANIC
 status:     OK-UNTIL 20090620140040
 dom-public: NO
 nserver:    ns1.ukrhosting.com
 nserver:    ns2.ukrhosting.com
 mnt-by:     UARR19-UANIC (ua.ukrhosting)
 remark:     
 changed:    SV10-UANIC 20080620140041
 source:     UANIC
 nic-handle:     TF46-UANIC
 person:         Taras Fedunets
 address:        Sadova Str., 9
 address:        79021 LVIV
 address:        UA
 phone:          +380 (32) 2920448
 e-mail:         tarasfedynec@gmail.com
 mnt-by:         NONE
 changed:        TF46-UANIC 20080620135534
 source:         UANIC
 fedynec.com.ua.         300     IN      A       91.196.0.73
 
 ;; AUTHORITY SECTION:
 fedynec.com.ua.         300     IN      NS      ns1.ukrhosting.com.
 fedynec.com.ua.         300     IN      NS      ns2.ukrhosting.com.
 
 ;; ADDITIONAL SECTION:
 ns1.ukrhosting.com.     300     IN      A       216.240.57.206
 ns2.ukrhosting.com.     300     IN      A       91.196.0.7
 inetnum:        91.196.0.0 - 91.196.3.255
 netname:        HOSTBIZUA-NET
 descr:          HostBizUa Data Center
 country:        UA
 org:            ORG-SGOS1-RIPE
 admin-c:        VD891-RIPE
 tech-c:         VD891-RIPE
 status:         ASSIGNED PI
 notify:         msil@hostbizua.com
 mnt-by:         HOSTBIZUA-MNT
 mnt-by:         RIPE-NCC-HM-PI-MNT
 mnt-lower:      RIPE-NCC-HM-PI-MNT
 mnt-routes:     HOSTBIZUA-MNT
 mnt-domains:    HOSTBIZUA-MNT
 changed:        hostmaster@ripe.net 20070514
 source:         RIPE

このOutlookを狙ったというスパムって結局以前からあるecard系のスパムのバリエーションだったんですね。

こんな感じで同じドメインを利用してファイル名は異なりますが、実は同じマルウェアを踏ませようとするスパムが同時に送出されていました。

ecard.exe ⇒

http://www.virustotal.com/analisis/a6f588870a901ab76c3f0697008213aad08140484b658ba43a9ade459c0ae263-1245371927

関連:Outlookユーザーをターゲットとしたスパム

[カテゴリ:spam観察日記]

by jyake