cNotes 検索 一覧 カテゴリ

Your Flight N USXXX-XXXXXXXX - American Airlineから

Published: 2012/03/01

観測日: 2012/2/28〜

通数: 20〜100通/day

手法: リダイレクト用スクリプトが仕込まれたhtmlファイルを添付

目的: 誘導先でマルウェアダウンロード

特徴:

ダウンロードリンクに「xxxxx.ru:8080」

最近の攻撃のバリエーションで新ネタです。

アンチウィルスの検出に関してはやっとたくさん検出できるようになってきました。


American AirlineのFlight ticket購入結果を騙るメールです。

本物の文面をみたことないのでわかりませんが、たまたまそのタイミングでチケットを購入していた人にはヒットするんですかね。

このような文面。

添付ファイルは

 FLIGHT_TICKET_N356488.htm

のようなhtmlファイル。

以下いままでと同じです。

htmlファイルを開いて飛ばされるURLは

domainpath
cparabnormapoopdsf.ru:8080/images/aublbzdni.php

そこからのダウンロードリンクとファイル。

domainpath
cparabnormapoopdsf.ru:8080/images/bnhleogmgnitcv.swf
cparabnormapoopdsf.ru:8080/images/dpcobsyscrctbt.jar
cparabnormapoopdsf.ru:8080/images/iwclymknjnencs.jar
cparabnormapoopdsf.ru:8080/images/dsfliqitktinx.php

 images/bnhleogmgnitcv.swf

https://www.virustotal.com/file/1f379ac7df33746d7b14ee837937e2d36499f007d0a02c18ebda828453487871/analysis/1330581595/

(14/43) CVE-2011-0611

 dpcobsyscrctbt.jar 

https://www.virustotal.com/file/4aa50efb99114bf4215e44f91d1aa5d818aa974b8a8cca2657454c2833b0a0a9/analysis/1330582536/

(25/41)CVE-2011-3544

 iwclymknjnencs.jar

https://www.virustotal.com/file/dab184aeea5b8155155c0ebf55450b5cfd168bf59b744e447f7760fe1ba419c7/analysis/1330582673/

(27/43)CVE2010-0840

 dsfliqitktinx.php

https://www.virustotal.com/file/5c48fa4dda91d01eae4bcdec7015e1915618c25dba5180b13d9c723e59f10d4a/analysis/1330582988/

(30/43)

検出率高くなった。


攻撃サイトのIPアドレスはたくさんラウンドロビンするタイプ。

 cparabnormapoopdsf.ru has address 209.114.47.158
 cparabnormapoopdsf.ru has address 210.109.108.210
 cparabnormapoopdsf.ru has address 50.31.1.105
 cparabnormapoopdsf.ru has address 69.60.117.183
 cparabnormapoopdsf.ru has address 78.83.233.242
 cparabnormapoopdsf.ru has address 78.107.82.98
 cparabnormapoopdsf.ru has address 83.238.208.55
 cparabnormapoopdsf.ru has address 95.156.232.102
 cparabnormapoopdsf.ru has address 96.125.168.172
 cparabnormapoopdsf.ru has address 111.93.161.226
 cparabnormapoopdsf.ru has address 125.19.103.198
 cparabnormapoopdsf.ru has address 128.134.57.112
 cparabnormapoopdsf.ru has address 173.203.51.174
 cparabnormapoopdsf.ru has address 184.106.200.65
 cparabnormapoopdsf.ru has address 184.106.237.210
 cparabnormapoopdsf.ru has address 190.81.107.70
 cparabnormapoopdsf.ru has address 199.204.23.216
 cparabnormapoopdsf.ru has address 200.169.13.84
 domain:        CPARABNORMAPOOPDSF.RU
 nserver:       ns1.cparabnormapoopdsf.ru. 94.63.147.96
 nserver:       ns2.cparabnormapoopdsf.ru. 188.116.32.177
 nserver:       ns3.cparabnormapoopdsf.ru. 176.65.154.102
 nserver:       ns4.cparabnormapoopdsf.ru. 176.65.157.99
 state:         REGISTERED, DELEGATED, UNVERIFIED
 person:        Private Person
 registrar:     NAUNET-REG-RIPN
 admin-contact: https://client.naunet.ru/c/whoiscontact
 created:       2012.02.06
 paid-till:     2013.02.06
 free-date:     2013.03.09
 source:        TCI
IP逆引きASAS Name
69.60.117.183183-117-60-69.serverpronto.com.15083INFOLINK-MIA-US_-_InfolinkUnitedStates
78.83.233.242ns.streambg.net.47366MVN-AS_MVN_Systems_LtdBulgaria
78.107.82.98NONE8402CORBINA-AS_OJSC__Vimpelcom_RussianFederation
83.238.208.5583-238-208-55.ip.netia.com.pl.12741INTERNETIA-AS_Netia_SAPoland
95.156.232.102NONE197071INTERWERK_INTERWERK_-_Rotorfly_Europa_GmbH_&_Co._KGGermany
125.19.103.198NONE9498BBIL-AP_BHARTI_Airtel_Ltd.India
96.125.168.172host.waltonstreetwebdesign.com.36351SOFTLAYER_-_SoftLayer_Technologies_Inc.UnitedStates
111.93.161.226Static-226.161.93.111.tataidc.co.in.45820TTSL-MEISISP_Tata_Teleservices_ISP_ASIndia
50.31.1.105ip105.50-31-1.static.steadfastdns.net.32748STEADFAST_-_Steadfast_NetworksUnitedStates
128.134.57.112NONE10088KWANGWOON-UNIV-AS-AP_KWANGWOON_University_in_Seoul_KoreaKoreaRepublic
173.203.51.174173-203-51-174.static.cloud-ips.com.19994RACKSPACE_-_Rackspace_HostingUnitedStates
184.106.200.65184-106-200-65.static.cloud-ips.com.19994RACKSPACE_-_Rackspace_HostingUnitedStates
184.106.237.210184-106-237-210.static.cloud-ips.com.19994RACKSPACE_-_Rackspace_HostingUnitedStates
190.81.107.70NONE12252Telmex_Peru_S.A.Peru
199.204.23.216snickers.smsmarketeers.com.19181CWIE_-_CWIE_LLCUnitedStates
200.169.13.84arquivo.arkbr.com.br.21574BIS_Brasil_Internet_Service_LtdaBrazil
209.114.47.158209-114-47-158.static.cloud-ips.com.33070RMH-14_-_Rackspace_HostingUnitedStates
210.56.23.100NONE7590COMSATS_Commission_on_Science_and_Technology_forPakistan
210.109.108.210NONE9848GNGAS_Enterprise_NetworksKoreaRepublic

[カテゴリ:spam観察日記]

by jyake