invoice.htm
Published: 2012/04/12
観測日: 2012/4/11
通数: 200通/day
手法: 添付htmlファイルを開くことで、マルウェアダウンロードサイトへ誘導
目的: マルウェア感染
特徴:
invoice.htmというスクリプトが仕込まれたファイルが添付されてきます。
CVE-2011-3544、CVE-2012-0507系のいつもの。
本文。
スクリプトの中身は少し変わった。
ダウンロードされるファイル。
domain | path |
---|---|
http://webmastaumuren.ru:8080 | /navigator/jueoaritjuir.php |
http://webmastaumuren.ru:8080 | /pages/glavctkoasjtct.php |
http://webmastaumuren.ru:8080 | /pages/cvdzfujrxsine.jar |
http://webmastaumuren.ru:8080 | /pages/friwfuxnkwgnkq.jar |
http://webmastaumuren.ru:8080 | /pages/xsgtxodljsxn.pdf |
いつものとおり、CVE-2012-0507等ですね。
攻撃サイトに登録されているAレコードが増えてます。
IP | 逆引き | AS | AS name | country | |
---|---|---|---|---|---|
210.56.23.100 | NONE | 7590 | COMSATS_Commission_on_Science_and_Technology_for | PK | |
211.44.250.173 | NONE | 9318 | HANARO-AS_Hanaro_Telecom_Inc. | KR | |
112.78.124.115 | NONE | 9371 | SAKURA-C_SAKURA_Internet_Inc. | JP | |
219.94.194.138 | NONE | 9371 | SAKURA-C_SAKURA_Internet_Inc. | JP | |
125.19.103.198 | NONE | 9498 | BBIL-AP_BHARTI_Airtel_Ltd. | IN | |
210.109.108.210 | NONE | 9848 | GNGAS_Enterprise_Networks | KR | |
88.190.22.72 | sd-29537.dedibox.fr. | 12322 | PROXAD_Free_SAS | FR | |
202.149.85.37 | NONE | 17826 | SATATANET-ID_Jl._Raya_Pasar_Minggu_no_99D | ID | |
41.168.5.140 | NONE | 36937 | Neotel-AS | ZA | |
41.66.137.155 | 41-66-137-155-9b.availble.africainx.net. | 37179 | AFRICAINX | ZA | |
62.85.27.129 | sw-gbit-1.gw.27-129.ime.lv. | 39201 | IMEPLUSS-AS_IME_PLUSS_Ltd. | LV | |
89.31.145.154 | vserver-mpfppr2.nexen.net. | 41628 | NEXEN-NETWORK_NEXEN_SERVICES | FR |
by jyake