cNotes 検索 一覧 カテゴリ

htmlファイル添付型スパム - CVE-2010-0886利用

Published: 2010/09/20

以前から多かったhtmlファイルを添付してくるスパムがここ数日、量を増やしています。

MySpace ..その他 - x.html型」等のようにzipファイル添付型とhtmlファイル添付型を混在して送ってくるものから、htmlファイル添付型のみを送ってくるものに偏ってきている感じ。後半を読んでいただけばわかりますが結局このx.html型のバリエーションです。


バリエーションが多いので文面例を二つだけ。

こちらには

 September 2010.html

こちらには

 copy of the letter.html

その他のバリエーションはこのような感じで、サブジェクト、文面毎に下記のようなhtmlファイルが添付されてきます。

 invoice.html
 Invoice-Stockton.html
 label.html
 labels.html
 visit_our_shop.html
 Corrections.html
 proposal.html

htmlファイルの中身はこのような感じで。

解読するとこんな感じ。

ポイントとなるここですが、

 http://dark-pangolin.com/x.html

こんなファイルです。長いのでごく一部分だけですが。。。

このx.htmlでCVE-2010-0866Oracle Sun JDK および JRE の脆弱性、JWS command-line injection

が利用されているようです。

いろいろダウンロードしてくるようですが、そのなかの一つがこれ。

http://www.virustotal.com/file-scan/report.html?id=a9a3ae459eca4f97e11488ac752c79c2203f3f94f6e32a3fb7d509b4f46683f2-1284651444


 Domain Name: DARK-PANGOLIN.COM
   Registrar: 1 & 1 INTERNET AG
   Whois Server: whois.schlund.info
   Referral URL: http://REGISTRAR.SCHLUND.INFO
   Name Server: NS61.1AND1.FR
   Name Server: NS62.1AND1.FR
   Status: ok
   Updated Date: 04-sep-2010
   Creation Date: 03-sep-2009
   Expiration Date: 03-sep-2011
 
 82.165.215.9
 inetnum:        82.165.208.0 - 82.165.215.255
 netname:        SCHLUND-SHARED
 descr:          1&1 Internet AG
 country:        DE
   Domain Name: FORMYJOBDUTY.COM
   Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
   Whois Server: whois.melbourneit.com
   Referral URL: http://www.melbourneit.com
   Name Server: YNS1.YAHOO.COM
   Name Server: YNS2.YAHOO.COM
   Status: ok
   Updated Date: 12-sep-2010
   Creation Date: 09-jun-2010
   Expiration Date: 09-jun-2011
 
 91.213.174.221
 inetnum:        91.213.174.0 - 91.213.174.255
 netname:        VolgaHost
 descr:          PE Bondarenko Dmitriy Vladimirovich
 country:        RU

[カテゴリ:spam観察日記]

by jyake