ZeuS/zbot - Facebook and Visa の継続

「ZeuS/zbot - VISAカードの不正利用警告を騙って」、「Facebookのログインシステム変更を騙るスパム」などの継続です。手法はほとんどかわりませんがマルウェア自体は

 109.95.114.251

に保存されています。

 inetnum:        109.95.112.0 - 109.95.119.255　
 netname:        VISHCLUB
 descr:          Kanyovskiy Andriy Yuriyovich
 country:        KZ
 org:            ORG-KAY1-RIPE
 admin-c:        KA584-RIPE
 tech-c:         KA584-RIPE
 status:         ASSIGNED PI
 mnt-by:         RIPE-NCC-END-MNT
 mnt-lower:      RIPE-NCC-END-MNT
 mnt-by:         VISHCLUB-MNT
 mnt-routes:     VISHCLUB-MNT
 mnt-domains:    VISHCLUB-MNT
 source:         RIPE
 
 route:          109.95.112.0/22
 descr:          Kanyovskiy route
 origin:         AS50369
 mnt-by:         VISHCLUB-MNT
 source:         RIPE

マルウェアの検出状況。

 pdf.pdf

http://www.virustotal.com/analisis/63eb7672e92b590a94c08ef59fb8aaea069dfdd7242c78b2670d9634d65a0e9f-1264479932(17/41)

 updatetool.exe

http://www.virustotal.com/analisis/22c65bc098ae4f5ac6f7566e0790f86fe60c05e7633a458a77467be0ff32d72a-1264480034(13/41)

TLDがいろいろバリエーションが変わって、しかも増えています。

 vc hn sc io nz gs la

ドメイン取得しやすいレジストラでいろいろ実験しているのかもしれません。

なかなか珍しいドメインで。。。

かといってTLDで止めるわけにはいかないですよね。ま、それぞれの立場、環境において適切な判断をと。

 www.facebook.com.ddeasutq.vc
 www.facebook.com.gertfdq.com.hn
 www.facebook.com.gertfdq.com.sc
 www.facebook.com.gertfdq.com.vc
 www.facebook.com.gertfdq.hn
 statements.cforms.visa.com.gertfdv.co.nz
 transactions.cforms.visa.com.gertfdv.gs
 transactions.cforms.visa.com.gertfdv.io
 transactions.cforms.visa.com.lufdasa.com.hn
 transactions.cforms.visa.com.lufdasa.com.sc
 transactions.cforms.visa.com.lufdasa.com.vc
 transactions.cforms.visa.com.lufdasa.hn
 transactions.cforms.visa.com.lufdase.com.hn
 transactions.cforms.visa.com.reeesassf.com.sc
 transactions.cforms.visa.com.reeesassf.com.vc
 transactions.cforms.visa.com.reeesassf.la
 transactions.cforms.visa.com.uiooo1.com.sc
 transactions.cforms.visa.com.uiooo4.com.vc

 Domain ID:D1561501-LRCC
 Domain Name:UKGEDSR.COM.SC
 Created On:25-Jan-2010 10:20:29 UTC
 Expiration Date:25-Jan-2011 10:20:29 UTC
 Sponsoring Registrar:Domain People, Inc. (R124-LRCC)
 Status:TRANSFER PROHIBITED
 Registrant ID:dp-11837402
 Registrant Name:Jeff Parker
 Registrant Organization:Jeff Parker

fast-fluxです。

 ;; QUESTION SECTION:
 ;www.facebook.com.ukgedsr.com.sc. IN    A
 
 ;; ANSWER SECTION:
 www.facebook.com.ukgedsr.com.sc. 300 IN A       118.173.77.37
 www.facebook.com.ukgedsr.com.sc. 300 IN A       123.112.3.198
 www.facebook.com.ukgedsr.com.sc. 300 IN A       183.87.57.86
 www.facebook.com.ukgedsr.com.sc. 300 IN A       189.78.11.143
 www.facebook.com.ukgedsr.com.sc. 300 IN A       189.179.9.139
 www.facebook.com.ukgedsr.com.sc. 300 IN A       189.193.146.179
 www.facebook.com.ukgedsr.com.sc. 300 IN A       190.245.121.41
 www.facebook.com.ukgedsr.com.sc. 300 IN A       114.140.11.104
 www.facebook.com.ukgedsr.com.sc. 300 IN A       114.142.212.137
 www.facebook.com.ukgedsr.com.sc. 300 IN A       116.81.44.86
 www.facebook.com.ukgedsr.com.sc. 300 IN A       117.198.87.246
 www.facebook.com.ukgedsr.com.sc. 300 IN A       117.199.244.217
 
 ;; AUTHORITY SECTION:
 ukgedsr.com.sc.         300     IN      NS      ns2.transsubmit.net.
 ukgedsr.com.sc.         300     IN      NS      ns2.drinckclub.com.
 ukgedsr.com.sc.         300     IN      NS      ns1.drinckclub.com.
 ukgedsr.com.sc.         300     IN      NS      ns1.transsubmit.net.
 
 ;; ADDITIONAL SECTION:
 ns1.drinckclub.com.     291     IN      A       94.23.177.147
 ns1.transsubmit.net.    291     IN      A       2.2.2.2
 ns2.drinckclub.com.     293     IN      A       218.191.98.34
 ns2.transsubmit.net.    293     IN      A       205.178.14.171

「2.2.2.2」、、、へぇ、、

[カテゴリ:spam観察日記]

by jyake