cNotes 検索 一覧 カテゴリ

Scan from a Hewlett-Packard ScanJet - htmlファイル添付型

Published: 2012/04/09

観測日: 2012/4/6

通数: 10通/day

手法: 添付ファイル型。ファイルを展開し開くとマルウェアダウンロードサイトへアクセス。

目的: マルウェア感染

特徴:

おなじみのスキャナーメッセージのバリエーション。

今回添付されているzipファイルの中身は流行の改竄サイトに設置されるhtmlファイルと同一のものになっています。

つまり、これも今現在は、Facebook - index-include.htm等の一連のCVE-2011-3544、CVE-2012-0507等その他を利用した攻撃のバリエーションの一つとして利用されています。


いつものメール。

添付ファイル

展開するとhtmlファイルが。

その中身は、最近の改竄サイトに設置されるものと同じ系統。

なので、次のステップも同時期の他の攻撃と共通。

domainpath
http://211.44.250.173:8080/navigator/jueoaritjuir.php
http://62.85.27.129:8080/navigator/jueoaritjuir.php
http://219.94.194.138:8080/navigator/jueoaritjuir.php
http://78.83.233.242:8080/navigator/jueoaritjuir.php

昨日のsakuraも含まれていますね。

このあとダウンロードされるjar、pdfファイルも同じ。

今年のものは若干異なりますが4年つづけて4月は改竄が流行ってことですかね。

[カテゴリ:spam観察日記]

by jyake