Outlook 〜 Amazon 〜 NUWAR
Published: 2009/06/21
Outlookな話の追記であるわけですが、全体像?を眺めるとこんな感じなのかなということで、、、
これがOutlook系のバリエーション
これが同時に送信されているAmazon関連の文面
これも同時に送信されているよくあるフィッシング系。「荷物受け取りのために送り状を印刷してね、」 なので、まぁinvoce系とでも。。
「Outlookユーザーをターゲットとしたスパム 追記」で書いたようにecard系も。
で、これも同時に送信されている2007〜2008年ごろに観測されていたNUWAR系(Zelathin、Storm系)の文面、、、なぜ今頃?、ツール?botの設定をしくじった?
で、文面バリエーションはもっとたくさんあるので省略しますが結局StormやWaledacで作ったメール送信システムを利用してZbot系?やWaledac系の配布を行っているとかかな?
一瞬話題になった?Outlookな話はこの状況のほんの一部を切り取った情報だけだったということでしょうか。
ファイル名はたくさんありますが、基本同じものです。
outl_update_32323.exe invoice_7788.exe report_7070.exe video.exe
関連するドメインはこのような感じ。
lfns.it 76.76.18.45 mercadoabc.com.br なし megamindonline.com 203.104.22.35 baessler-befestigungssysteme.de 62.67.235.123 artug.ru 77.222.40.92 allrussianstrip.com 94.103.89.126 scananida.com.pl 91.121.8.196
MEGAMINDONLINE.COMはYAHOO-INDIAのホスティングつかってますね。IPアドレスでブロックするかどうか迷うところですが、利用者自身の立場(個人or企業or学校or,,,)、環境、ポリシーなどを考慮した上でそれぞれが判断するしかないですね。個人利用なら有無を言わさずブロックでもいいかなと。
Domain Name: MEGAMINDONLINE.COM Registrar: VISESH INFOTECNICS LTD Whois Server: whois.signdomains.com Referral URL: http://www.signdomains.com Name Server: YNS103.IN2.YAHOO.COM Name Server: YNS104.IN2.YAHOO.COM Status: ok Updated Date: 20-jun-2009 Creation Date: 02-dec-2003 Expiration Date: 02-dec-2009
inetnum: 203.104.16.0 - 203.104.23.255 netname: yahoo-india descr: Yahoo! Web Services India Pvt Ltd, Internet Content Provider country: IN admin-c: YI17-AP tech-c: YI17-AP mnt-routes: MAINT-IN-Yahoo mnt-by: APNIC-HM status: ASSIGNED PORTABLE remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+ remarks: This object can only be updated by APNIC hostmasters. remarks: To update this object, please contact APNIC remarks: hostmasters and include your organisation's account remarks: name in the subject line. remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+ changed: hm-changed@apnic.net 20060314 changed: hm-changed@apnic.net 20060328 source: APNIC
by jyake