Transfer_NKK.htm
Published: 2012/04/13
観測日: 2012/4/12
通数: 200通/day
手法: 添付htmlファイルを開くことで、マルウェアダウンロードサイトへ誘導
目的: マルウェア感染
特徴:
transfer_NKK.htm または Transfer_N656909.htm 数字はいろいろ
というスクリプトが仕込まれたファイルが添付されてきます。
CVE-2012-0507等のいつもの。
本文
添付ファイル付き。
transfer_NKK.htm または Transfer_N656909.htm 数字はいろいろ
のような添付ファイル名。
いつものスクリプトが仕込まれてます。
ダウンロードされるファイル。
.domain,path
http://wiskonsintpara.ru:8080 | /pages/glavctkoasjtct.php |
---|---|
http://wiskonsintpara.ru:8080 | /pages/cvdzfujrxsine.jar |
http://wiskonsintpara.ru:8080 | /pages/friwfuxnkwgnkq.jar |
http://wiskonsintpara.ru:8080 | /pages/xsgtxodljsxn.pdf |
ドメイン名はちょっと違いますが、Aレコードは、
で利用されているアドレスと同じです。
# host wiskonsintpara.ru wiskonsintpara.ru has address 88.190.22.72 wiskonsintpara.ru has address 89.31.145.154 wiskonsintpara.ru has address 112.78.124.115 wiskonsintpara.ru has address 125.19.103.198 wiskonsintpara.ru has address 210.56.23.100 wiskonsintpara.ru has address 211.44.250.173 wiskonsintpara.ru has address 219.94.194.138 wiskonsintpara.ru has address 41.168.5.140 wiskonsintpara.ru has address 62.85.27.129 wiskonsintpara.ru has address 83.170.91.152 wiskonsintpara.ru has address 85.214.204.32
by jyake