ZeuS/zbot - fcb.orgを騙って
Published: 2009/12/25
「ZeuS/zbot - VISAカードの不正利用警告を騙って」のバリエーションでFCB(Federal Credit Bureau)を騙るバージョンです。若干改良されています。
まずこのようなメールが届きます。
リンクをクリックするとこのようなフィッシングサイトにアクセスします。
このhtmlの中にこのようなコードが含まれています。
解読するとこう。
自動的に読み込まれる「in.php」の中身がこれ
で、自動的に「pdf.pdf」というファイルをダウンロードさせられます。
(18/41)
もう一つ読み込まれる「sNode.php」がこれ。
いろいろありますが、このようなURLでexeをダウンロードさせられます。
(14/41)
あとは画面の指示にしたがってダウンロードさせられる
credithistory.exe
がこれ
(19/41)
使われるドメインはいつものパターン。
secure.federalcb.org.ictf1itlu.be secure.federalcreditbureau.org.htiftiimil.co.uk session-41838517279.fedcreditbureau.org.ictf1utll.be session-7511572427.fcbureau.org.iutf1itll.be session-8674124.fedcb.org.ictf1utll.be session-87336247605.fcb.org.tifitlili.co.uk
by jyake