cNotes 検索 一覧 カテゴリ

ZeuS/zbot - fcb.orgを騙って

Published: 2009/12/25

ZeuS/zbot - VISAカードの不正利用警告を騙って」のバリエーションでFCB(Federal Credit Bureau)を騙るバージョンです。若干改良されています。


まずこのようなメールが届きます。


リンクをクリックするとこのようなフィッシングサイトにアクセスします。

このhtmlの中にこのようなコードが含まれています。

解読するとこう。


自動的に読み込まれる「in.php」の中身がこれ

で、自動的に「pdf.pdf」というファイルをダウンロードさせられます。

http://www.virustotal.com/analisis/79d0979003ca57f7d515bea44bd20068865f51753334e0f7f09dc440abbba0a0-1261659915

(18/41)


もう一つ読み込まれる「sNode.php」がこれ。

いろいろありますが、このようなURLでexeをダウンロードさせられます。

http://www.virustotal.com/analisis/bbf19f670ad4423fce60213dd215983c19fb94aca0ae41d45aa7d8913410acdb-1261660065

(14/41)


あとは画面の指示にしたがってダウンロードさせられる

 credithistory.exe

がこれ

http://www.virustotal.com/analisis/bbf19f670ad4423fce60213dd215983c19fb94aca0ae41d45aa7d8913410acdb-1261660065

(19/41)


使われるドメインはいつものパターン。

 secure.federalcb.org.ictf1itlu.be
 secure.federalcreditbureau.org.htiftiimil.co.uk
 session-41838517279.fedcreditbureau.org.ictf1utll.be
 session-7511572427.fcbureau.org.iutf1itll.be
 session-8674124.fedcb.org.ictf1utll.be
 session-87336247605.fcb.org.tifitlili.co.uk

[カテゴリ:spam観察日記]

by jyake