Wire Transfer Confirmation 3
Published: 2012/04/14
観測日: 2012/4/13
通数: 100通/day
手法: 添付htmlファイルを開くことで、マルウェアダウンロードサイトへ誘導
およびRLO利用のPDFに偽装したexeファイルを実行させマルウェア感染
目的: マルウェア感染
特徴:
htmlファイルと以前流行したRLOを利用した偽装exeファイルを両方添付
ファイルが存在しません。
添付ファイル
Report.zip
がついてきます。
展開すると
htmlファイルとexeファイル。
ファイルが存在しません。
exeファイルはRLOを利用してpdfファイルに見せかけようとするやつです。
exeファイルはこれ。
htmlファイルを開くと
一段目ここ
http://vanessamiyhome.ru:8080/img/?promo=nacha
そこから、ここ
| domain | path |
|---|---|
| http://vanessamiyhome.ru:8080 | /pages/glavctkoasjtct.php |
| http://vanessamiyhome.ru:8080 | /pages/glflanbzcmfni.jar |
| http://vanessamiyhome.ru:8080 | /pages/kmgphmezkwgwfoj6.jar |
| http://vanessamiyhome.ru:8080 | /pages/jnapaqjrezbpj8.pdf |
いつものやつです。
by jyake