cNotes 検索 一覧 カテゴリ

Outlook から Michael Jackson ネタへ

Published: 2009/07/02

スパムネタ(しかも同じやつ)が続いてすいません。

Update for Microsoft Outlook spam継続中」のバリエーションで時事ネタ=マイケルジャクソンネタへの変化です。

スパムにありがちな「有名人ネタ」+「時事ネタ」+「陰謀/オカルトネタ」の三つの要素が入っています。

文面はこのような感じで

Outlook系でよくみたドメインですね。

fast-fluxです。

 ;ilkilk.net.                    IN      A
 
 ;; ANSWER SECTION:
 ilkilk.net.             300     IN      A       92.21.226.54
 ilkilk.net.             300     IN      A       94.26.40.78
 ilkilk.net.             300     IN      A       213.60.224.220
 ilkilk.net.             300     IN      A       217.216.80.84
 ilkilk.net.             300     IN      A       75.101.172.178
 ilkilk.net.             300     IN      A       78.97.50.131
 ilkilk.net.             300     IN      A       78.157.82.12
 ilkilk.net.             300     IN      A       79.115.10.230
 ilkilk.net.             300     IN      A       79.164.136.106
 ilkilk.net.             300     IN      A       83.20.66.143
 ilkilk.net.             300     IN      A       83.32.165.82
 ilkilk.net.             300     IN      A       84.0.225.245
 ilkilk.net.             300     IN      A       84.121.117.57
 ilkilk.net.             300     IN      A       88.203.121.11
 ilkilk.net.             300     IN      A       89.78.195.12
 
 ;; AUTHORITY SECTION:
 ilkilk.net.             300     IN      NS      ns1.polretgame.com.
 ilkilk.net.             300     IN      NS      ns2.polretgame.com.
 ilkilk.net.             300     IN      NS      ns1.fortserver.net.
 ilkilk.net.             300     IN      NS      ns2.fortserver.net.

そうじゃないこのドメインは対策済み(parked)ですね。

 ;jillih.com.                    IN      A
 
 ;; ANSWER SECTION:
 jillih.com.             1       IN      A       174.129.241.185
 jillih.com.             1       IN      A       174.129.244.106
 
 ;; AUTHORITY SECTION:
 jillih.com.             291     IN      NS      ns2.zitodns.com.
 jillih.com.             291     IN      NS      ns1.zitodns.com.

ドメインのバリエーションはこんな感じで。

 MJackson.1ffli.com.mx
 MJackson.hilli.com.mx
 MJackson.i1kilk.com
 MJackson.i1kilk.net
 MJackson.ijjik1.com
 MJackson.ilk1lk.com
 MJackson.ilki1k.com
 MJackson.ilki1k.net
 MJackson.ilkifi.com
 MJackson.ilkil1.com
 MJackson.ilkil1.net
 MJackson.ilkilk.com
 MJackson.ilkilk.net
 MJackson.jillih.com

アドレスブロックは多すぎるので省略。前回の記事の通りfast-fluxに対してはIPアドレスレンジでの対策はあまり有効ではないので、、、、

攻撃手法は変化ないと思います。一部省略しますが、省略部分は前回と同じです。

こんな脆弱性を狙われて

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2463

最後にはこれを食らいます。

http://www.virustotal.com/analisis/80528a4868d561e4b29d12272a0aead18c161116893fdab2d30835ca40388ebe-1246464081

Zbot、、、、

実際には、MJネタの前には、同じドメイン群で銀行系のフィッシング行われていました。

[カテゴリ:spam観察日記]

by jyake