cNotes 検索 一覧 カテゴリ

Outlook 〜 Amazon 〜 NUWAR

Published: 2009/06/21

Outlookな話の追記であるわけですが、全体像?を眺めるとこんな感じなのかなということで、、、

これがOutlook系のバリエーション

これが同時に送信されているAmazon関連の文面

これも同時に送信されているよくあるフィッシング系。「荷物受け取りのために送り状を印刷してね、」 なので、まぁinvoce系とでも。。

Outlookユーザーをターゲットとしたスパム 追記」で書いたようにecard系も。

で、これも同時に送信されている2007〜2008年ごろに観測されていたNUWAR系(Zelathin、Storm系)の文面、、、なぜ今頃?、ツール?botの設定をしくじった?

で、文面バリエーションはもっとたくさんあるので省略しますが結局StormやWaledacで作ったメール送信システムを利用してZbot系?やWaledac系の配布を行っているとかかな?

一瞬話題になった?Outlookな話はこの状況のほんの一部を切り取った情報だけだったということでしょうか。

ファイル名はたくさんありますが、基本同じものです。

 outl_update_32323.exe  
 invoice_7788.exe
 report_7070.exe
 video.exe

http://www.virustotal.com/analisis/a6f588870a901ab76c3f0697008213aad08140484b658ba43a9ade459c0ae263-1245470694

関連するドメインはこのような感じ。

 lfns.it              76.76.18.45       
 mercadoabc.com.br                なし
 megamindonline.com        203.104.22.35
 baessler-befestigungssysteme.de 62.67.235.123
 artug.ru                        77.222.40.92
 allrussianstrip.com             94.103.89.126 
 scananida.com.pl                91.121.8.196

MEGAMINDONLINE.COMはYAHOO-INDIAのホスティングつかってますね。IPアドレスでブロックするかどうか迷うところですが、利用者自身の立場(個人or企業or学校or,,,)、環境、ポリシーなどを考慮した上でそれぞれが判断するしかないですね。個人利用なら有無を言わさずブロックでもいいかなと。

   Domain Name: MEGAMINDONLINE.COM
   Registrar: VISESH INFOTECNICS LTD
   Whois Server: whois.signdomains.com
   Referral URL: http://www.signdomains.com
   Name Server: YNS103.IN2.YAHOO.COM
   Name Server: YNS104.IN2.YAHOO.COM
   Status: ok
   Updated Date: 20-jun-2009
   Creation Date: 02-dec-2003
   Expiration Date: 02-dec-2009
 inetnum:      203.104.16.0 - 203.104.23.255
 netname:      yahoo-india
 descr:        Yahoo! Web Services India Pvt Ltd, Internet Content Provider
 country:      IN
 admin-c:      YI17-AP
 tech-c:       YI17-AP
 mnt-routes:   MAINT-IN-Yahoo
 mnt-by:       APNIC-HM
 status:       ASSIGNED PORTABLE
 remarks:      -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 remarks:      This object can only be updated by APNIC hostmasters.
 remarks:      To update this object, please contact APNIC
 remarks:      hostmasters and include your organisation's account
 remarks:      name in the subject line.
 remarks:      -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 changed:      hm-changed@apnic.net 20060314
 changed:      hm-changed@apnic.net 20060328
 source:       APNIC

[カテゴリ:spam観察日記]

by jyake