cNotes 検索 一覧 カテゴリ

invoice.htm

Published: 2012/04/12

観測日: 2012/4/11

通数: 200通/day

手法: 添付htmlファイルを開くことで、マルウェアダウンロードサイトへ誘導

目的: マルウェア感染

特徴:

invoice.htmというスクリプトが仕込まれたファイルが添付されてきます。

CVE-2011-3544、CVE-2012-0507系のいつもの。


本文。

スクリプトの中身は少し変わった。

ダウンロードされるファイル。

domainpath
http://webmastaumuren.ru:8080/navigator/jueoaritjuir.php
http://webmastaumuren.ru:8080/pages/glavctkoasjtct.php
http://webmastaumuren.ru:8080/pages/cvdzfujrxsine.jar
http://webmastaumuren.ru:8080/pages/friwfuxnkwgnkq.jar
http://webmastaumuren.ru:8080/pages/xsgtxodljsxn.pdf

いつものとおり、CVE-2012-0507等ですね。

攻撃サイトに登録されているAレコードが増えてます。

IP逆引きASAS namecountry
210.56.23.100NONE7590COMSATS_Commission_on_Science_and_Technology_forPK
211.44.250.173NONE9318HANARO-AS_Hanaro_Telecom_Inc.KR
112.78.124.115NONE9371SAKURA-C_SAKURA_Internet_Inc.JP
219.94.194.138NONE9371SAKURA-C_SAKURA_Internet_Inc.JP
125.19.103.198NONE9498BBIL-AP_BHARTI_Airtel_Ltd.IN
210.109.108.210NONE9848GNGAS_Enterprise_NetworksKR
88.190.22.72sd-29537.dedibox.fr.12322PROXAD_Free_SASFR
202.149.85.37NONE17826SATATANET-ID_Jl._Raya_Pasar_Minggu_no_99DID
41.168.5.140NONE36937Neotel-ASZA
41.66.137.15541-66-137-155-9b.availble.africainx.net.37179AFRICAINXZA
62.85.27.129sw-gbit-1.gw.27-129.ime.lv.39201IMEPLUSS-AS_IME_PLUSS_Ltd.LV
89.31.145.154vserver-mpfppr2.nexen.net.41628NEXEN-NETWORK_NEXEN_SERVICESFR

[カテゴリ:spam観察日記]

by jyake