invoice.htm
Published: 2012/04/12
観測日: 2012/4/11
通数: 200通/day
手法: 添付htmlファイルを開くことで、マルウェアダウンロードサイトへ誘導
目的: マルウェア感染
特徴:
invoice.htmというスクリプトが仕込まれたファイルが添付されてきます。
CVE-2011-3544、CVE-2012-0507系のいつもの。
本文。
スクリプトの中身は少し変わった。
ダウンロードされるファイル。
| domain | path |
|---|---|
| http://webmastaumuren.ru:8080 | /navigator/jueoaritjuir.php |
| http://webmastaumuren.ru:8080 | /pages/glavctkoasjtct.php |
| http://webmastaumuren.ru:8080 | /pages/cvdzfujrxsine.jar |
| http://webmastaumuren.ru:8080 | /pages/friwfuxnkwgnkq.jar |
| http://webmastaumuren.ru:8080 | /pages/xsgtxodljsxn.pdf |
いつものとおり、CVE-2012-0507等ですね。
攻撃サイトに登録されているAレコードが増えてます。
| IP | 逆引き | AS | AS name | country | |
|---|---|---|---|---|---|
| 210.56.23.100 | NONE | 7590 | COMSATS_Commission_on_Science_and_Technology_for | PK | |
| 211.44.250.173 | NONE | 9318 | HANARO-AS_Hanaro_Telecom_Inc. | KR | |
| 112.78.124.115 | NONE | 9371 | SAKURA-C_SAKURA_Internet_Inc. | JP | |
| 219.94.194.138 | NONE | 9371 | SAKURA-C_SAKURA_Internet_Inc. | JP | |
| 125.19.103.198 | NONE | 9498 | BBIL-AP_BHARTI_Airtel_Ltd. | IN | |
| 210.109.108.210 | NONE | 9848 | GNGAS_Enterprise_Networks | KR | |
| 88.190.22.72 | sd-29537.dedibox.fr. | 12322 | PROXAD_Free_SAS | FR | |
| 202.149.85.37 | NONE | 17826 | SATATANET-ID_Jl._Raya_Pasar_Minggu_no_99D | ID | |
| 41.168.5.140 | NONE | 36937 | Neotel-AS | ZA | |
| 41.66.137.155 | 41-66-137-155-9b.availble.africainx.net. | 37179 | AFRICAINX | ZA | |
| 62.85.27.129 | sw-gbit-1.gw.27-129.ime.lv. | 39201 | IMEPLUSS-AS_IME_PLUSS_Ltd. | LV | |
| 89.31.145.154 | vserver-mpfppr2.nexen.net. | 41628 | NEXEN-NETWORK_NEXEN_SERVICES | FR |
by jyake