cNotes 検索 一覧 カテゴリ

czドメインを利用したweb感染誘導スパム

Published: 2009/11/22

いきなり個人宛にこのようなメールが届きます。

subjectも

 User 自分のMailアカウント

だけです。

クリックしてアクセスすると、こんなスクリプト食らいます。

そしていろいろなものを食らいます。

  • Adobe getIconの脆弱性

CVE2009-0927

  • こんなPDF

http://www.virustotal.com/analisis/b8b9694de536e2a5a6299e1878b41f0ade7c6005fa73eff9cba39e6f6d83da26-1258685550

  • gumblarちっくな攻撃でexeを食らいます。かなり検出率が悪い。

http://www.virustotal.com/analisis/198d1d37959fa887fd5f5fa8aa0ac32788d4a49bc5a63fb6ecaf5daa0661b2a0-1258643357

  • これはいつものBredolab

http://www.virustotal.com/analisis/f16d11df2bbe76495cc0cc933c212cf963eed144963fe99cb610faaba33897ce-1258684746

  • さらに別スクリプト

http://www.virustotal.com/analisis/24a37507765e4c0c0e8a5eb03f5e5c9e9c0afd604bc65c5893e988f6e4edb520-1258690702

全体的に新しくなっていてすべて検出率が低いので危険です。

自分のIDが入っていて、あまりにもシンプルなメールで、何かのシステムのアラームかなにかと思ってクリックしそうになりました。

誘導に使われるczドメイン

 noresp.xf.cz
 noresp.xf.cz.noresp.xf.cz
 ntinve.matrixway.cz
 volny.cz
 web.iol.cz

飛ばされる先のcnドメイン

 Domain Name: nt202.cn
 ROID: 20091014s10001s67764605-cn
 Domain Status: clientTransferProhibited
 Registrant Organization: INTERTECH CONSTRUCTION CORP 
 Registrant Name: Hiraneory Arrona
 Administrative Email: hondadoc4@comcast.net
 Name Server:ns1.easydns.com
 Name Server:ns2.easydns.com
 Registration Date: 2009-10-14 20:50
 Expiration Date: 2010-10-14 20:50
 Domain Name: nt010.cn
 ROID: 20091014s10001s67764608-cn
 Domain Status: clientTransferProhibited
 Registrant Organization: INTERTECH CONSTRUCTION CORP 
 Registrant Name: Hiraneory Arrona
 Administrative Email: hondadoc4@comcast.net
 Name Server:ns1.lunarmania.com
 Name Server:ns2.lunarmania.com
 Registration Date: 2009-10-14 20:50
 Expiration Date: 2010-10-14 20:50

[カテゴリ:spam観察日記]

by jyake