ZeuS/zbot - 所得増により税金が高くなってます

「ZeuS/zbot - Facebook and Visa の継続」,「ZeuS/zbot - PhotoArchive」のバリエーションです。

基本的な手法は同じ。

---

このようなメールが届いて

 昨年の所得が増えたので税金が高くなります。レポートを確認してください。

みたいな意味のメールで

リンクをクリックすると、まず「pdf.pdf」というファイルを自動的にダウンロードさせようとします。

http://www.virustotal.com/analisis/f94d233cb36709796b54fd602600387e1362d364b63c9743840e507b8cb3f0d0-1266051230

(11/41)

さらに表示されるウェブページはこのようなページで、

 Macromedia Flash Playerが最新版じゃないのでアップデートしてください。

というタイムリーなネタに。

「Macromedia Flash Player」のリンクをおすと「update.exe」というファイルをダウンロードさせられます。

http://www.virustotal.com/analisis/08c6a859e00d5011bf3c67a03466c5567db7678f0bba0f174619ac5298bf2ec9-1266050826

(28/41)

---

ファイルが置かれているURLがIPアドレス直指定になっている特徴はいままでと同じですがIPアドレスが少し変わりました。

 109.95.115.36

 inetnum:        109.95.112.0 - 109.95.119.255
 netname:        VISHCLUB
 descr:          Kanyovskiy Andriy Yuriyovich
 country:        KZ

---

最初のメール本文中の誘導URLに使われるドメインはkrドメインです。

 rep021co.kr
 rep021or.kr
 rep022kr.com
 rep022or.kr
 repaz.or.kr

 Domain Name               : repaz.or.kr
 Registrant                : gson  
 Registrant Zip Code       : 152777
 Administrative Contact(AC): Vicki Snyder
 Registered Date           : 2010. 02. 12.
 Last updated Date         : 2010. 02. 12.
 Expiration Date           : 2011. 02. 12.
 Publishes                 : Y
 Authorized Agency         : Gabia, Inc.(http://www.gabia.co.kr)

[カテゴリ:spam観察日記]

by jyake