Your Flight N USXXX-XXXXXXXX - American Airlineから
Published: 2012/03/01
観測日: 2012/2/28〜
通数: 20〜100通/day
手法: リダイレクト用スクリプトが仕込まれたhtmlファイルを添付
目的: 誘導先でマルウェアダウンロード
特徴:
ダウンロードリンクに「xxxxx.ru:8080」
最近の攻撃のバリエーションで新ネタです。
アンチウィルスの検出に関してはやっとたくさん検出できるようになってきました。
American AirlineのFlight ticket購入結果を騙るメールです。
本物の文面をみたことないのでわかりませんが、たまたまそのタイミングでチケットを購入していた人にはヒットするんですかね。
このような文面。
添付ファイルは
FLIGHT_TICKET_N356488.htm
のようなhtmlファイル。
以下いままでと同じです。
htmlファイルを開いて飛ばされるURLは
domain | path |
---|---|
cparabnormapoopdsf.ru:8080 | /images/aublbzdni.php |
そこからのダウンロードリンクとファイル。
domain | path |
---|---|
cparabnormapoopdsf.ru:8080 | /images/bnhleogmgnitcv.swf |
cparabnormapoopdsf.ru:8080 | /images/dpcobsyscrctbt.jar |
cparabnormapoopdsf.ru:8080 | /images/iwclymknjnencs.jar |
cparabnormapoopdsf.ru:8080 | /images/dsfliqitktinx.php |
images/bnhleogmgnitcv.swf
(14/43) CVE-2011-0611
dpcobsyscrctbt.jar
(25/41)CVE-2011-3544
iwclymknjnencs.jar
(27/43)CVE2010-0840
dsfliqitktinx.php
(30/43)
検出率高くなった。
攻撃サイトのIPアドレスはたくさんラウンドロビンするタイプ。
cparabnormapoopdsf.ru has address 209.114.47.158 cparabnormapoopdsf.ru has address 210.109.108.210 cparabnormapoopdsf.ru has address 50.31.1.105 cparabnormapoopdsf.ru has address 69.60.117.183 cparabnormapoopdsf.ru has address 78.83.233.242 cparabnormapoopdsf.ru has address 78.107.82.98 cparabnormapoopdsf.ru has address 83.238.208.55 cparabnormapoopdsf.ru has address 95.156.232.102 cparabnormapoopdsf.ru has address 96.125.168.172 cparabnormapoopdsf.ru has address 111.93.161.226 cparabnormapoopdsf.ru has address 125.19.103.198 cparabnormapoopdsf.ru has address 128.134.57.112 cparabnormapoopdsf.ru has address 173.203.51.174 cparabnormapoopdsf.ru has address 184.106.200.65 cparabnormapoopdsf.ru has address 184.106.237.210 cparabnormapoopdsf.ru has address 190.81.107.70 cparabnormapoopdsf.ru has address 199.204.23.216 cparabnormapoopdsf.ru has address 200.169.13.84
domain: CPARABNORMAPOOPDSF.RU nserver: ns1.cparabnormapoopdsf.ru. 94.63.147.96 nserver: ns2.cparabnormapoopdsf.ru. 188.116.32.177 nserver: ns3.cparabnormapoopdsf.ru. 176.65.154.102 nserver: ns4.cparabnormapoopdsf.ru. 176.65.157.99 state: REGISTERED, DELEGATED, UNVERIFIED person: Private Person registrar: NAUNET-REG-RIPN admin-contact: https://client.naunet.ru/c/whoiscontact created: 2012.02.06 paid-till: 2013.02.06 free-date: 2013.03.09 source: TCI
IP | 逆引き | AS | AS Name | 国 |
---|---|---|---|---|
69.60.117.183 | 183-117-60-69.serverpronto.com. | 15083 | INFOLINK-MIA-US_-_Infolink | UnitedStates |
78.83.233.242 | ns.streambg.net. | 47366 | MVN-AS_MVN_Systems_Ltd | Bulgaria |
78.107.82.98 | NONE | 8402 | CORBINA-AS_OJSC__Vimpelcom_ | RussianFederation |
83.238.208.55 | 83-238-208-55.ip.netia.com.pl. | 12741 | INTERNETIA-AS_Netia_SA | Poland |
95.156.232.102 | NONE | 197071 | INTERWERK_INTERWERK_-_Rotorfly_Europa_GmbH_&_Co._KG | Germany |
125.19.103.198 | NONE | 9498 | BBIL-AP_BHARTI_Airtel_Ltd. | India |
96.125.168.172 | host.waltonstreetwebdesign.com. | 36351 | SOFTLAYER_-_SoftLayer_Technologies_Inc. | UnitedStates |
111.93.161.226 | Static-226.161.93.111.tataidc.co.in. | 45820 | TTSL-MEISISP_Tata_Teleservices_ISP_AS | India |
50.31.1.105 | ip105.50-31-1.static.steadfastdns.net. | 32748 | STEADFAST_-_Steadfast_Networks | UnitedStates |
128.134.57.112 | NONE | 10088 | KWANGWOON-UNIV-AS-AP_KWANGWOON_University_in_Seoul_Korea | KoreaRepublic |
173.203.51.174 | 173-203-51-174.static.cloud-ips.com. | 19994 | RACKSPACE_-_Rackspace_Hosting | UnitedStates |
184.106.200.65 | 184-106-200-65.static.cloud-ips.com. | 19994 | RACKSPACE_-_Rackspace_Hosting | UnitedStates |
184.106.237.210 | 184-106-237-210.static.cloud-ips.com. | 19994 | RACKSPACE_-_Rackspace_Hosting | UnitedStates |
190.81.107.70 | NONE | 12252 | Telmex_Peru_S.A. | Peru |
199.204.23.216 | snickers.smsmarketeers.com. | 19181 | CWIE_-_CWIE_LLC | UnitedStates |
200.169.13.84 | arquivo.arkbr.com.br. | 21574 | BIS_Brasil_Internet_Service_Ltda | Brazil |
209.114.47.158 | 209-114-47-158.static.cloud-ips.com. | 33070 | RMH-14_-_Rackspace_Hosting | UnitedStates |
210.56.23.100 | NONE | 7590 | COMSATS_Commission_on_Science_and_Technology_for | Pakistan |
210.109.108.210 | NONE | 9848 | GNGAS_Enterprise_Networks | KoreaRepublic |
by jyake