我々は今年の頭頃、Fareitスパムの急増に遭遇した。Fareitとは、ZeusやCryptowallの配送に使われるダウンローダである。
最近になって、また別の、スパムに使われるダウンローダに気付いた。このダウンローダのスパマーは、ユーザに正規のメールだと信じ込ませるために、一層の労力を払ったように見受けられる。
ある最近のスパムは偽のKLM eチケットだった。エールフランスKLM社のセールス&サービスセンターから送信されたように装っている。
しかし、このスパマーは単純に英語を話す人に対し、気を配っただけではなかった。ここ最近、ポーランド語で送られた同じスパムも相当数目にした。
たとえば以下のメールは、ポーランドを拠点とするオンライン決済サービス企業、dotpay.plから表面上は送付されている。
おまけにこのメールはポーランドの有名ISPを使っている。
そしてスパマーの言語スキルもこれで途切れたかと考えた正にその時、フィンランドをテーマにしたスパムのサンプルを入手した。
文法は十分に納得のいくもののように見える。題名と添付ファイルにさえ正確なフィンランドの用語が用いられている。それのみならず、使用されているメールアドレス「suomi24.fi」というのは、フィンランドでもっとも人気のあるWebサイトの1つである。
より効果的な詐欺を実施するために、スパマーは明らかにメッセージのカスタマイズに関する研究も行っている。標的とする国や人々の言語を使用するのみならず、人気のあるメールやサービスの提供者を用いることさえ実現している。
これらのスパムのペイロードは、Wauchosというトロイの木馬型のダウンローダだ。
以下にWauchosの最近のファイル名を挙げる。
2つのサンプルの添付ファイルについては、http://www.google.com/webhpへの接続を試みることで、Wauchosはインターネット接続について確認する。
以下のネットワーク接続を行う。
• http://188. 225.32.207/ssdc32716372/login.php
• http://188. 225.32.208/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://92. 53.97.194/ssdc32716372/file.php
• http://46. 28.55.113/ssdc32716372/file.php
また以下からトロイの木馬を追加的にダウンロードする。
• http://auto*.it/*/jeve.exe
• http://dd*.ru/old.exe
これらのメールで見かけたWauchosのバリアントは、双方ともに情報を盗むZbotもしくはCridexをダウンロードする。
当社ではこれらファミリーをTrojan-Downloader:W32/Wauchos、Trojan-Spy:W32/Zbot、Trojan:W32/Cridex.として検知する。
最近になって、また別の、スパムに使われるダウンローダに気付いた。このダウンローダのスパマーは、ユーザに正規のメールだと信じ込ませるために、一層の労力を払ったように見受けられる。
ある最近のスパムは偽のKLM eチケットだった。エールフランスKLM社のセールス&サービスセンターから送信されたように装っている。
しかし、このスパマーは単純に英語を話す人に対し、気を配っただけではなかった。ここ最近、ポーランド語で送られた同じスパムも相当数目にした。
たとえば以下のメールは、ポーランドを拠点とするオンライン決済サービス企業、dotpay.plから表面上は送付されている。
おまけにこのメールはポーランドの有名ISPを使っている。
そしてスパマーの言語スキルもこれで途切れたかと考えた正にその時、フィンランドをテーマにしたスパムのサンプルを入手した。
文法は十分に納得のいくもののように見える。題名と添付ファイルにさえ正確なフィンランドの用語が用いられている。それのみならず、使用されているメールアドレス「suomi24.fi」というのは、フィンランドでもっとも人気のあるWebサイトの1つである。
より効果的な詐欺を実施するために、スパマーは明らかにメッセージのカスタマイズに関する研究も行っている。標的とする国や人々の言語を使用するのみならず、人気のあるメールやサービスの提供者を用いることさえ実現している。
これらのスパムのペイロードは、Wauchosというトロイの木馬型のダウンローダだ。
以下にWauchosの最近のファイル名を挙げる。
2つのサンプルの添付ファイルについては、http://www.google.com/webhpへの接続を試みることで、Wauchosはインターネット接続について確認する。
以下のネットワーク接続を行う。
• http://188. 225.32.207/ssdc32716372/login.php
• http://188. 225.32.208/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://92. 53.97.194/ssdc32716372/file.php
• http://46. 28.55.113/ssdc32716372/file.php
また以下からトロイの木馬を追加的にダウンロードする。
• http://auto*.it/*/jeve.exe
• http://dd*.ru/old.exe
これらのメールで見かけたWauchosのバリアントは、双方ともに情報を盗むZbotもしくはCridexをダウンロードする。
当社ではこれらファミリーをTrojan-Downloader:W32/Wauchos、Trojan-Spy:W32/Zbot、Trojan:W32/Cridex.として検知する。
