cNotes 検索 一覧 カテゴリ

htmlファイル添付型スパム - NNNNNxxxx.html -- iframefile.js

Published: 2010/09/24

関連

ファイルの中身が変わりました。

単純な難読化が施されていて、下記のようなURLへジャンプさせられます。

URLは次々に変わっていっているようです。

 http://thfriisjensen.dk/iframefile.js
 http://aquaspheregoggles.com/iframefile.js
 http://colordonor.com/iframefile.js

また、jsファイルの中身はほとんどが上記のスクリプトだけなのですが、

中には、このようなページを表示させつつジャンプさせるタイプもまざってます。

ファイルの中身はさらにこのようなスクリプトです。

このジャンプ先も変化しています。

 wiqosah.co.cc 
 hojikyp.co.cc
 kacohil.co.cc

ジャンプ先の対策が早い?


添付ファイルの例

 96831resume.html
 96832_attachment.html
 96859resume.html
 96906_doc.html
 96962letter.html
 96983_attachment.html
 97048resume.html
 97060_doc.html
 97064resume.html
 97086resume.html 
 97122letter.html
 97178_doc.html
 97207_doc.html
 97230resume.html
 97245resume.html
 97260resume.html
 97261resume.html
 97278_attachment.html
 97320_attachment.html
 97321resume.html
 97349letter.html
 97452resume.html
 97470letter.html
 97491_doc.html
 97493_attachment.html
 97529_attachment.html
 97582_attachment.html
 97642resume.html
 97684resume.html
 
 と
 
 無印のresume.html

 bihyjov.co.cc
 
 188.65.73.10
 inetnum:        188.65.72.0 - 188.65.79.255
 netname:        AT-ANEXIA-20090805
 descr:          ANEXIA Internetdienstleistungs GmbH
 country:        AT

[カテゴリ:spam観察日記]

by jyake