cNotes 検索 一覧 カテゴリ

pharmacy系botnet

Published: 2009/01/06

ここのところずーっと継続的に活発なCanadian Pharmacy botnetやWaledec Botnetなどのbotnetですが、中でもCanadian Pharmacyに代表されるPharmacy系のbotnetが目立ちますが、これはただの広告サイトで、その冗長性確保のための仕組みにbotnetの仕組み≒fast-fluxを取り入れているだけじゃないかという認識が強かったですが、それらの中にやはりというかMalware感染を狙うものもあります。

injection被害を受けているサイト情報を調べていると見つけられるものの中に、直接webアクセス契機での感染を狙うものではなく、spamをトリガーとする感染シーケンスに利用されるリダイレクトサイトが多く含まれます。

たとえば最近ではこんなの。

 Pharmacy系spam←トリガー
 ↓
 ↓本文のURLをクリック
 ↓
 ■茖遙遙陝А拭diettopseek.cn/in.cgi?cocacola←リダイレクタ
 ↓
 ↓javascriptで新規iframe生成
 ↓
 http://north-host.net/images/new/index.php←リダイレクタ
 ↓
 ↓iframe
 ↓
 ぃ茖遙遙陝А拭north-host.net//images/new/pdf.php←リダイレクタ
 ↓
 ↓iframe
 ↓
 ィ茖遙遙陝А拭north-host.net//images/new/load.php←これがマルウェア。

まぁ0聞澆脇韻献汽ぅ汎發覆鵑任垢、、、

こんなマルウェア⇒VirusTotalの結果

今現在ファイルは存在しません。

こういったbotnetはspamメールだけがトリガーではなく、bbsやblogコメントなどの書き込みで誘導することも大々的に行われています。ひっくるめてspamトリガー。

またトリガーによって飛ばされるサイトはiframeを不正に注入されたサイトですがただのリダイレクタです。単なる広告サイトに飛ばす仕組みにも同じ仕組みが用いられます。

というわけで日々数万のspamトリガーの新規URLをリストアップしてるのですが、ただの広告だからスルーということはやってはいけないというわけです。どんなに確率が低くてもちゃんとマルウェア解析しないと。

[カテゴリ:botnet観察日記]

by jyake