ZeuS/zbot - Facebook and Visa の継続
Published: 2010/01/26
「ZeuS/zbot - VISAカードの不正利用警告を騙って」、「Facebookのログインシステム変更を騙るスパム」などの継続です。手法はほとんどかわりませんがマルウェア自体は
109.95.114.251
に保存されています。
inetnum: 109.95.112.0 - 109.95.119.255 netname: VISHCLUB descr: Kanyovskiy Andriy Yuriyovich country: KZ org: ORG-KAY1-RIPE admin-c: KA584-RIPE tech-c: KA584-RIPE status: ASSIGNED PI mnt-by: RIPE-NCC-END-MNT mnt-lower: RIPE-NCC-END-MNT mnt-by: VISHCLUB-MNT mnt-routes: VISHCLUB-MNT mnt-domains: VISHCLUB-MNT source: RIPE route: 109.95.112.0/22 descr: Kanyovskiy route origin: AS50369 mnt-by: VISHCLUB-MNT source: RIPE
マルウェアの検出状況。
pdf.pdf
updatetool.exe
TLDがいろいろバリエーションが変わって、しかも増えています。
vc hn sc io nz gs la
ドメイン取得しやすいレジストラでいろいろ実験しているのかもしれません。
なかなか珍しいドメインで。。。
かといってTLDで止めるわけにはいかないですよね。ま、それぞれの立場、環境において適切な判断をと。
www.facebook.com.ddeasutq.vc www.facebook.com.gertfdq.com.hn www.facebook.com.gertfdq.com.sc www.facebook.com.gertfdq.com.vc www.facebook.com.gertfdq.hn statements.cforms.visa.com.gertfdv.co.nz transactions.cforms.visa.com.gertfdv.gs transactions.cforms.visa.com.gertfdv.io transactions.cforms.visa.com.lufdasa.com.hn transactions.cforms.visa.com.lufdasa.com.sc transactions.cforms.visa.com.lufdasa.com.vc transactions.cforms.visa.com.lufdasa.hn transactions.cforms.visa.com.lufdase.com.hn transactions.cforms.visa.com.reeesassf.com.sc transactions.cforms.visa.com.reeesassf.com.vc transactions.cforms.visa.com.reeesassf.la transactions.cforms.visa.com.uiooo1.com.sc transactions.cforms.visa.com.uiooo4.com.vc
Domain ID:D1561501-LRCC Domain Name:UKGEDSR.COM.SC Created On:25-Jan-2010 10:20:29 UTC Expiration Date:25-Jan-2011 10:20:29 UTC Sponsoring Registrar:Domain People, Inc. (R124-LRCC) Status:TRANSFER PROHIBITED Registrant ID:dp-11837402 Registrant Name:Jeff Parker Registrant Organization:Jeff Parker
fast-fluxです。
;; QUESTION SECTION: ;www.facebook.com.ukgedsr.com.sc. IN A ;; ANSWER SECTION: www.facebook.com.ukgedsr.com.sc. 300 IN A 118.173.77.37 www.facebook.com.ukgedsr.com.sc. 300 IN A 123.112.3.198 www.facebook.com.ukgedsr.com.sc. 300 IN A 183.87.57.86 www.facebook.com.ukgedsr.com.sc. 300 IN A 189.78.11.143 www.facebook.com.ukgedsr.com.sc. 300 IN A 189.179.9.139 www.facebook.com.ukgedsr.com.sc. 300 IN A 189.193.146.179 www.facebook.com.ukgedsr.com.sc. 300 IN A 190.245.121.41 www.facebook.com.ukgedsr.com.sc. 300 IN A 114.140.11.104 www.facebook.com.ukgedsr.com.sc. 300 IN A 114.142.212.137 www.facebook.com.ukgedsr.com.sc. 300 IN A 116.81.44.86 www.facebook.com.ukgedsr.com.sc. 300 IN A 117.198.87.246 www.facebook.com.ukgedsr.com.sc. 300 IN A 117.199.244.217 ;; AUTHORITY SECTION: ukgedsr.com.sc. 300 IN NS ns2.transsubmit.net. ukgedsr.com.sc. 300 IN NS ns2.drinckclub.com. ukgedsr.com.sc. 300 IN NS ns1.drinckclub.com. ukgedsr.com.sc. 300 IN NS ns1.transsubmit.net. ;; ADDITIONAL SECTION: ns1.drinckclub.com. 291 IN A 94.23.177.147 ns1.transsubmit.net. 291 IN A 2.2.2.2 ns2.drinckclub.com. 293 IN A 218.191.98.34 ns2.transsubmit.net. 293 IN A 205.178.14.171
「2.2.2.2」、、、へぇ、、
by jyake