ZeuS/zbot - VISAカードの不正利用警告を騙って
Published: 2009/12/12
FacebookからDHLまで、繰り返し大量に届くようになっていますが、新しいものが一つ混ざっていました。
このようなメールが届きます。
あなたのカードがタイのATMで使用されたことが確認されましたが、セキュリティ的な 理由により受付拒否しました。あなたのVISAカードのレポートをしっかり確認してく ださい。
というカードの不正利用対策でカード会社からカード所有者に連絡がくるといわれているアラート(経験ないのでわかりませんが)を騙っています。
リンクをクリックするとこのようなサイトにアクセスします。
中身は今までのZeuSとは違い若干複雑になっています。(exploit packのどれかですね)
まずこのページ自体にこのようなiframeが挿入されていて
そこからさらに別ファイルのこのような二つのiframeが呼び出されます。
1つ目のiframeは「pdf.pdf」というファイルを自動的に開かせようとします。
正体はこれ。
(12/41)
CVE-2008-2992 Adobe util.printf overflow
CVE-2008-0015 MsVidCtl Overflow
2つ目のiframeは別ファイルを読み込み次のようなスクリプトが実行させます。
このスクリプトの実行の結果このようなURLからマルウェアをダウンロード。
(14/41)
このURLは同一IPアドレスからのアクセスに対して一時間ほどのアクセス制限がかかるようです。
自動実行はここまでで、あとは画面の指示にしたがってファイルをダウンロードしようとすると
cardstatement.exe
というファイルがダウンロードされて、その正体はこれ。
(12/41)
利用されているドメインは今まで通り。
visa.com.ntueeepi1.org.uk visa.com.ntueeera1.co.uk visa.com.ntueeeri1.co.uk visa.com.ntueeeri1.eu visa.com.teh10ll1.be visa.com.teh11ll1.be visa.com.tehh1ll1.be visa.com.tehhtll1.be visa.com.tehhtpl1.be visa.com.umr1eep1.co.uk visa.com.umr1eep1.eu visa.com.umr1eep1.me.uk
利用されているボット
41.250.44.45 6713 NONE 41.237.186.234 8452 host-41.237.186.234.tedata.net. 92.47.80.154 9198 NONE 112.202.222.57 9299 112.202.222.57.pldt.net. 115.108.66.227 17908 115.108.66.227.static-chennai.vsnl.net.in. 118.94.186.165 24193 retail.dynamic.sify.net. 110.55.165.158 6648 110.55.165.158.BTI.NET.PH. 118.20.1.45 4713 i118-20-1-45.s04.a020.ap.plala.or.jp. 118.171.133.48 3462 118-171-133-48.dynamic.hinet.net. 119.95.218.241 9299 NONE 121.96.204.224 6648 121.96.204.224.BTI.NET.PH. 121.133.112.177 4766 NONE 121.83.180.89 17511 121-83-180-89.eonet.ne.jp. 122.218.93.174 17506 122x218x93x174.ap122.ftth.ucom.ne.jp. 123.50.177.247 45488 123-50-177-247.static.broadllyne.com. 124.43.47.110 9329 NONE 200.207.173.33 27699 200-207-173-33.dial-up.telesp.net.br.
by jyake