czドメインを利用したweb感染誘導スパム
Published: 2009/11/22
いきなり個人宛にこのようなメールが届きます。
subjectも
User 自分のMailアカウント
だけです。
クリックしてアクセスすると、こんなスクリプト食らいます。
そしていろいろなものを食らいます。
- Adobe getIconの脆弱性
- こんなPDF
- gumblarちっくな攻撃でexeを食らいます。かなり検出率が悪い。
- これはいつものBredolab
- さらに別スクリプト
全体的に新しくなっていてすべて検出率が低いので危険です。
自分のIDが入っていて、あまりにもシンプルなメールで、何かのシステムのアラームかなにかと思ってクリックしそうになりました。
誘導に使われるczドメイン
noresp.xf.cz noresp.xf.cz.noresp.xf.cz ntinve.matrixway.cz volny.cz web.iol.cz
飛ばされる先のcnドメイン
Domain Name: nt202.cn ROID: 20091014s10001s67764605-cn Domain Status: clientTransferProhibited Registrant Organization: INTERTECH CONSTRUCTION CORP Registrant Name: Hiraneory Arrona Administrative Email: hondadoc4@comcast.net Name Server:ns1.easydns.com Name Server:ns2.easydns.com Registration Date: 2009-10-14 20:50 Expiration Date: 2010-10-14 20:50
Domain Name: nt010.cn ROID: 20091014s10001s67764608-cn Domain Status: clientTransferProhibited Registrant Organization: INTERTECH CONSTRUCTION CORP Registrant Name: Hiraneory Arrona Administrative Email: hondadoc4@comcast.net Name Server:ns1.lunarmania.com Name Server:ns2.lunarmania.com Registration Date: 2009-10-14 20:50 Expiration Date: 2010-10-14 20:50
by jyake