cNotes 検索 一覧 カテゴリ

Wire Transfer Confirmation - CVE-2012-0507 2

Published: 2012/04/10

観測日: 2012/4/9

通数: 80通/day

手法: 文中のリンクをクリックさせることで、マルウェアダウンロードサイトへ誘導

目的: マルウェア感染

特徴:

Wire Transfer Confirmation - CVE-2012-0507の変化形で、

誘導リンクが

 index32.htm

となってます。

攻撃サイトは変わりましたが相変わらずSAKURAのサイトが利用されています。


文面はこう。

誘導リンクの特徴が

 index32.html

でたとえばこれら。

domainpath
http://ihanzi.me/wp-content/plugins/zeora=lyroeu/index32.htm
http://lovezionchoir.illuminatedwebdesign.com/wp-content/plugins/zouewoehype/index32.htm
http://massfreshstart.com/css/index32.htm
http://sexyangelz.co.uk/adconfig/index32.htm
http://site.lehmannoutfitters.com/wp-admin/index32.htm
http://splatzpaintz.com/wp-admin/index32.htm
http://super-promocje.com.pl/wp-content/plug=ins/zvqbicpsise/index32.htm
http://www.etechdigital.com/images/index32.htm
http://www.hendrickscountybailbonds.com/blog=/wp-content/plugins/zsycuhenesi/index32.htm
http://www.lebc-ltd.co.uk/blog/wp-content=/plugins/ztuouafioek/index32.htm
http://www.netrad.pl/wp-content/plugins/=zyavconefaq/index32.htm

これ以降はいつもと同じですが、攻撃サイトが変わりました。

domainpath
http://89.31.145.154:8080/navigator/jueoaritjuir.php
http://89.31.145.154:8080/navigator/xmclflhqaukq7.jar
http://89.31.145.154:8080/navigator/cqkrhpiwguiucni.jar
http://89.31.145.154:8080/navigator/clxsimbrinel.pdf
http://88.190.22.72:8080/navigator/jueoaritjuir.php
http://88.190.22.72:8080/navigator/xmclflhqaukq7.jar
http://88.190.22.72:8080/navigator/cqkrhpiwguiucni.jar
http://88.190.22.72:8080/navigator/clxsimbrinel.pdf
http://81.30.160.7:8080/navigator/jueoaritjuir.php
http://112.78.124.115:8080/navigator/jueoaritjuir.php
http://112.78.124.115:8080/navigator/xmclflhqaukq7.jar
http://112.78.124.115:8080/navigator/cqkrhpiwguiucni.jar
http://112.78.124.115:8080/navigator/clxsimbrinel.pdf

が、SAKURAは相変わらず利用されています。

IP逆引きASAS Name
112.78.124.115NONE9371SAKURA-C_SAKURA_Internet_Inc.JP
81.30.160.7aquarius.vntp.net.24945ASN-VNTP_Autonomous_System_of_Vinteleport_companyUA
88.190.22.72sd-29537.dedibox.fr.12322PROXAD_Free_SASFR
89.31.145.154vserver-mpfppr2.nexen.net.41628NEXEN-NETWORK_NEXEN_SERVICESFR

ダウンロードされるマルウェア。

 cqkrhpiwguiucni.jar

https://www.virustotal.com/file/4610519b1e52f913c9469b9de99a710caf2f5a6dab45fbc5804c46be9868a65d/analysis/1334059579/

(27/42)

 clxsimbrinel.pdf

https://www.virustotal.com/file/1e934a05bc9b3f3fa76ef0995a127660b5149ea901cde1a67287aebb29172883/analysis/1334059407/

(30/42)

 xmclflhqaukq7.jar

https://www.virustotal.com/file/1716b67e2bd043f59fea51caf144066503717c583a12be837beee14a8729ddc0/analysis/1334060040/

(25/42)

[カテゴリ:spam観察日記]

by jyake