htmlファイル添付型スパム - CVE-2010-0886利用
Published: 2010/09/20
以前から多かったhtmlファイルを添付してくるスパムがここ数日、量を増やしています。
「MySpace ..その他 - x.html型」等のようにzipファイル添付型とhtmlファイル添付型を混在して送ってくるものから、htmlファイル添付型のみを送ってくるものに偏ってきている感じ。後半を読んでいただけばわかりますが結局このx.html型のバリエーションです。
バリエーションが多いので文面例を二つだけ。
こちらには
September 2010.html
こちらには
copy of the letter.html
その他のバリエーションはこのような感じで、サブジェクト、文面毎に下記のようなhtmlファイルが添付されてきます。
invoice.html Invoice-Stockton.html label.html labels.html visit_our_shop.html Corrections.html proposal.html
htmlファイルの中身はこのような感じで。
解読するとこんな感じ。
ポイントとなるここですが、
http://dark-pangolin.com/x.html
こんなファイルです。長いのでごく一部分だけですが。。。
このx.htmlでCVE-2010-0866Oracle Sun JDK および JRE の脆弱性、JWS command-line injection
が利用されているようです。
いろいろダウンロードしてくるようですが、そのなかの一つがこれ。
Domain Name: DARK-PANGOLIN.COM Registrar: 1 & 1 INTERNET AG Whois Server: whois.schlund.info Referral URL: http://REGISTRAR.SCHLUND.INFO Name Server: NS61.1AND1.FR Name Server: NS62.1AND1.FR Status: ok Updated Date: 04-sep-2010 Creation Date: 03-sep-2009 Expiration Date: 03-sep-2011 82.165.215.9 inetnum: 82.165.208.0 - 82.165.215.255 netname: SCHLUND-SHARED descr: 1&1 Internet AG country: DE
Domain Name: FORMYJOBDUTY.COM Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE Whois Server: whois.melbourneit.com Referral URL: http://www.melbourneit.com Name Server: YNS1.YAHOO.COM Name Server: YNS2.YAHOO.COM Status: ok Updated Date: 12-sep-2010 Creation Date: 09-jun-2010 Expiration Date: 09-jun-2011 91.213.174.221 inetnum: 91.213.174.0 - 91.213.174.255 netname: VolgaHost descr: PE Bondarenko Dmitriy Vladimirovich country: RU
by jyake