cNotes 検索 一覧 カテゴリ

Transfer_NKK.htm

Published: 2012/04/13

観測日: 2012/4/12

通数: 200通/day

手法: 添付htmlファイルを開くことで、マルウェアダウンロードサイトへ誘導

目的: マルウェア感染

特徴:

 transfer_NKK.htm
 
 または
 
 Transfer_N656909.htm  数字はいろいろ

というスクリプトが仕込まれたファイルが添付されてきます。

CVE-2012-0507等のいつもの。


本文

添付ファイル付き。

 transfer_NKK.htm
 
 または
 
 Transfer_N656909.htm  数字はいろいろ

のような添付ファイル名。

いつものスクリプトが仕込まれてます。

ダウンロードされるファイル。

.domain,path
http://wiskonsintpara.ru:8080/pages/glavctkoasjtct.php
http://wiskonsintpara.ru:8080/pages/cvdzfujrxsine.jar
http://wiskonsintpara.ru:8080/pages/friwfuxnkwgnkq.jar
http://wiskonsintpara.ru:8080/pages/xsgtxodljsxn.pdf

ドメイン名はちょっと違いますが、Aレコードは、

で利用されているアドレスと同じです。

 # host wiskonsintpara.ru
 wiskonsintpara.ru has address 88.190.22.72
 wiskonsintpara.ru has address 89.31.145.154
 wiskonsintpara.ru has address 112.78.124.115
 wiskonsintpara.ru has address 125.19.103.198
 wiskonsintpara.ru has address 210.56.23.100
 wiskonsintpara.ru has address 211.44.250.173
 wiskonsintpara.ru has address 219.94.194.138
 wiskonsintpara.ru has address 41.168.5.140
 wiskonsintpara.ru has address 62.85.27.129
 wiskonsintpara.ru has address 83.170.91.152
 wiskonsintpara.ru has address 85.214.204.32

[カテゴリ:spam観察日記]

by jyake