Wire Transfer Confirmation - CVE-2012-0507 2
Published: 2012/04/10
観測日: 2012/4/9
通数: 80通/day
手法: 文中のリンクをクリックさせることで、マルウェアダウンロードサイトへ誘導
目的: マルウェア感染
特徴:
Wire Transfer Confirmation - CVE-2012-0507の変化形で、
誘導リンクが
index32.htm
となってます。
攻撃サイトは変わりましたが相変わらずSAKURAのサイトが利用されています。
文面はこう。
誘導リンクの特徴が
index32.html
でたとえばこれら。
domain | path |
---|---|
http://ihanzi.me/wp-content | /plugins/zeora=lyroeu/index32.htm |
http://lovezionchoir.illuminatedwebdesign.com | /wp-content/plugins/zouewoehype/index32.htm |
http://massfreshstart.com | /css/index32.htm |
http://sexyangelz.co.uk | /adconfig/index32.htm |
http://site.lehmannoutfitters.com | /wp-admin/index32.htm |
http://splatzpaintz.com | /wp-admin/index32.htm |
http://super-promocje.com.pl | /wp-content/plug=ins/zvqbicpsise/index32.htm |
http://www.etechdigital.com | /images/index32.htm |
http://www.hendrickscountybailbonds.com | /blog=/wp-content/plugins/zsycuhenesi/index32.htm |
http://www.lebc-ltd.co.uk | /blog/wp-content=/plugins/ztuouafioek/index32.htm |
http://www.netrad.pl | /wp-content/plugins/=zyavconefaq/index32.htm |
これ以降はいつもと同じですが、攻撃サイトが変わりました。
domain | path |
---|---|
http://89.31.145.154:8080 | /navigator/jueoaritjuir.php |
http://89.31.145.154:8080 | /navigator/xmclflhqaukq7.jar |
http://89.31.145.154:8080 | /navigator/cqkrhpiwguiucni.jar |
http://89.31.145.154:8080 | /navigator/clxsimbrinel.pdf |
http://88.190.22.72:8080 | /navigator/jueoaritjuir.php |
http://88.190.22.72:8080 | /navigator/xmclflhqaukq7.jar |
http://88.190.22.72:8080 | /navigator/cqkrhpiwguiucni.jar |
http://88.190.22.72:8080 | /navigator/clxsimbrinel.pdf |
http://81.30.160.7:8080 | /navigator/jueoaritjuir.php |
http://112.78.124.115:8080 | /navigator/jueoaritjuir.php |
http://112.78.124.115:8080 | /navigator/xmclflhqaukq7.jar |
http://112.78.124.115:8080 | /navigator/cqkrhpiwguiucni.jar |
http://112.78.124.115:8080 | /navigator/clxsimbrinel.pdf |
が、SAKURAは相変わらず利用されています。
IP | 逆引き | AS | AS Name | 国 |
---|---|---|---|---|
112.78.124.115 | NONE | 9371 | SAKURA-C_SAKURA_Internet_Inc. | JP |
81.30.160.7 | aquarius.vntp.net. | 24945 | ASN-VNTP_Autonomous_System_of_Vinteleport_company | UA |
88.190.22.72 | sd-29537.dedibox.fr. | 12322 | PROXAD_Free_SAS | FR |
89.31.145.154 | vserver-mpfppr2.nexen.net. | 41628 | NEXEN-NETWORK_NEXEN_SERVICES | FR |
ダウンロードされるマルウェア。
cqkrhpiwguiucni.jar
(27/42)
clxsimbrinel.pdf
(30/42)
xmclflhqaukq7.jar
(25/42)
by jyake