exeをダウンロードさせようとするspam
Published: 2009/07/02
Outlook系でもありましたが、いまだにexeそのものが添付されていたり、直接exeをダウンロードさせようとする古典的な単純なspamが後を絶ちません。
ま、メールというものが遊びから仕事に至るまで一般的に利用されるようになった世の中、何の疑いもなく、当たり前の道具としてメールを使い始めるわけですから、こんな古典的な単純なタイプのスパムに引っかかる人が次々に現われ続けるのでしょう。。。教育とかリテラシーとかいう言葉をよく聴きますが、確かにそれも重要だとは思いますが、人のミスにつけこむこの手の行為には、なにかしらのアーキテクチャによるガードが必要だと思いますが、、、でも電子メールというものの原理の根本的な問題ともいえるので完全な解決策はないというのが本当のところかも。。。教育と技術のバランスが大事なんですけどね、、、難しい。
過去にも書きましたが、もっとも多く2007年ごろから常時観測されているのが
ecard.exe
です。それ以前は忘れてしまったのですが、過去記事のStormwormで目だって使われていたグリーティングカード系と同系統のスパマーが同系統のスパム送信システムを利用して送信している可能性が強いと思っています。
このような文面で、
exeの正体はこれです。
マルウェア自体はアップデートされていきますが、一日から一週間程度と意外と長く使いまわされています。
ホスティングされるドメインはこのような感じです。
allrussianstrip.com artemaliciacapoeira.be artmarket.or.kr artug.ru fedynec.com.ua flywell-travel.com ile-de-re.org istitutomicoterapico.it javiercubel.com liventsov.ru megamindonline.com mercadoabc.com.br pencer.net tablenumberempire.com ua-master.com
最近観測されるこのexeも文面はecard系。
djellow.exe
ホスティングされているドメインはこれ。
76380.webhosting29.1blu.de ribboninn.com www.hzcpwl.cn
6月中旬にも大規模に観測されましたが、定期的に爆発するcelebrity video系。
たとえば、これ。
この文例のようにメーラーの表示がtextモードだとこのようなメッセージとリンクが表示されますが、HTML形式での表示モードにすると画像が表示され、その画像をクリックするとexeがダウンロードされるようになっています。
これ以外によくあるのが有名人のビデオと称したタイプです。
exeはいろいろありますが、
movie.avi.exe video.exe bestvideo.avi.exe
ホスティングされているドメインは
javiercubel.com megamindonline.com szederjei.com
とか
220.194.44.67/~nbfe47/bestvideo.avi.exe
結局はZeuS/zbot系が流行り続けているってことですかね。
by jyake