cNotes 検索 一覧 カテゴリ

Western Union を騙るスパム 2

Published: 2010/01/07

2010年もWestern Unionを騙るスパムのバリエーションです。

このようなメールが届いて、

リンクをクリックするとこのようなサイトに到着。

とりあえず「cancel」してみると、このようなページに飛んで「please complete this form」を押させようとする。

で、「this form」を押すと「form.exe」のダウンロードになります。

http://www.virustotal.com/analisis/dbc14fcd3976c2b72fc1325bf8d251e23f516872295e2c2bd891b039da5a3959-1262801820

いつものZeuS/zbotの結果。検出率は低め。(9/41)

  

こっちのルートがだめなら今度は最初の画面で「Check a Transfer」を押して見るとこのような画面に。

YESを選択してメールに書いてあったMCTN入れてみるが、間違ってるといわれNOの方へ誘導される。

NOの方ですすんでいくと、このような画面。

今度は「instruction.exe」をダウンロードしろと。

http://www.virustotal.com/analisis/dbc14fcd3976c2b72fc1325bf8d251e23f516872295e2c2bd891b039da5a3959-1262841869

先程のform.exeと同じものです。(12/41?この数分で3つ増えた)


ドメインの使い方はいつもどおりですが、TLDは[.pl」に。

 wumt.westernunion.com.ye3eddr.com.pl
 wumt.westernunion.com.ye3eddt.com.pl
 wumt.westernunion.com.ye3eddu.com.pl
 wumt.westernunion.com.ye3eddy.com.pl
 wumt.westernunion.com.yhe3essa.com.pl
 wumt.westernunion.com.yhe3essd.com.pl
 wumt.westernunion.com.yhe3esse.com.pl
 wumt.westernunion.com.yhe3essf.com.pl
 wumt.westernunion.com.yhe3essg.com.pl
 wumt.westernunion.com.yhe3essi.com.pl
 wumt.westernunion.com.yhe3esso.com.pl
 wumt.westernunion.com.yhe3essp.com.pl
 wumt.westernunion.com.yhe3essq.com.pl
 wumt.westernunion.com.yhe3essr.com.pl
 wumt.westernunion.com.yhe3esss.com.pl
 wumt.westernunion.com.yhe3esst.com.pl
 wumt.westernunion.com.yhe3essu.com.pl
 wumt.westernunion.com.yhe3essw.com.pl
 wumt.westernunion.com.yhe3essy.com.pl
 wumt.westernunion.com.yht5trta.com.pl
 wumt.westernunion.com.yht5trtb.com.pl
 wumt.westernunion.com.yht5trtc.com.pl
 wumt.westernunion.com.yht5trtd.com.pl

?利用期間一週間のドメインってこと?

 DOMAIN: yht5trtd.com.pl is releasing after termination
 
 created:                2010.01.05 17:37:40
 last modified:          2010.01.06 20:13:38
 expiration date:        2010.01.11 20:13:38
 no option
 
 REGISTRAR:
 Domainpeople Inc.

そしてFast-Flux。

 ;; QUESTION SECTION:
 ;wumt.westernunion.com.yht5trtz.com.pl. IN A
 
 ;; ANSWER SECTION:
 wumt.westernunion.com.yht5trtz.com.pl. 1800 IN A 112.165.14.77
 wumt.westernunion.com.yht5trtz.com.pl. 1800 IN A 114.51.135.116
 wumt.westernunion.com.yht5trtz.com.pl. 1800 IN A 114.142.216.35
 wumt.westernunion.com.yht5trtz.com.pl. 1800 IN A 124.105.184.255
 wumt.westernunion.com.yht5trtz.com.pl. 1800 IN A 189.179.7.85
 wumt.westernunion.com.yht5trtz.com.pl. 1800 IN A 189.193.115.170
 wumt.westernunion.com.yht5trtz.com.pl. 1800 IN A 190.0.105.160
 wumt.westernunion.com.yht5trtz.com.pl. 1800 IN A 190.19.244.37
 wumt.westernunion.com.yht5trtz.com.pl. 1800 IN A 190.45.170.109
 wumt.westernunion.com.yht5trtz.com.pl. 1800 IN A 190.82.246.162
 wumt.westernunion.com.yht5trtz.com.pl. 1800 IN A 190.213.196.98
 wumt.westernunion.com.yht5trtz.com.pl. 1800 IN A 201.227.99.116
 wumt.westernunion.com.yht5trtz.com.pl. 1800 IN A 210.106.80.90
 wumt.westernunion.com.yht5trtz.com.pl. 1800 IN A 218.153.64.25
 wumt.westernunion.com.yht5trtz.com.pl. 1800 IN A 77.125.76.228

[カテゴリ:spam観察日記]

by jyake