2008年06月03日

ウィルス注意の続報

 一昨日「危険!ウィルス注意」でDoubleClick社の宣伝サイトを利用したウィルスメールをご紹介しましたが、今日また少々手口を変えて飛来しています。
このスパムは一昨日立てたエントリに追記したものですが、再掲します。
送信者: "lodovico johnny" (mark.stafford@cigna.com)
件名 : Britney naked on a beach. video
日時 : 2008年6月3日 9:10

ttp://ad.doubleclick.net/click;h=GUDtQ;~sscs=%3fhttp://aluguelsaopedro.***/ex.html
 これは一昨日のものと違い、.exeファイルではなくhtml(通常のWebページ)を示しています。
 
 今回は防護を確かめて、すぐ回線を切れるよう準備して、このページを見に行きました。
 (無論皆様が直接確かめることはお勧めしません)

 するとこのようなページが出てきました。(クリックすると別ウィンドウが開きます)
 aluguelsaopedro.jpg
 件名の続きと思ってPlease Downloadをクリックすると、一昨日のスパムと同じウィルス・video.exeをダウンロードしてしまいます。
 実はクリックしなくても放置しておくと勝手にダウンロードを開始します(直ちに接続を切りましたが)。

 このサイトには絶対アクセスしないで下さい!
 なおこのスパムのヘッダを調べると、米国サンフランシスコ発でした。(一昨日のものは米国アトランタ経由)



 夕方になってこんなメールがやって来ました。
送信者: "gucci chanle" (imgun2000@gva.dk)
件名 : Ugg Boots on sale as well as Gucci Versace Chanel & Other Designer Footwear, Male & Female, Free Ship!
日時 : 2008年6月3日 18:51

Hey makey, the 2008 Collections are here! Enjoy 90% discount on Brand Names!
ttp://ad.doubleclick.net/click;h=yxNMT;~sscs=%3fhttp://scroogemydak.com?PYeft
garvey jabez
 またDoubleClickだ!
 しかも今度はファイル名じゃなくてURLにちょっと変数がついているだけ…

 これも慎重に見に行きますと…
 scroogemydak.jpg
 あれ?ブランド品ショップ
 かの国のオンラインショップより一桁高い値段が付いてるし…

 どうやらこのページ、少なくとも一次ソースにはウィルスらしいリンクは見当たりません。形はまともなショップのようです。

 とすると、このメールは(日本の法規には沿いませんが)まともな広告メールで、
 ウィルスメールをカモフラージュするため混ぜ込まれたメールかもしれません。姑息なことを…

 なおこのメールの発信地はトルコ・アンカラでした。

 これからどんな手でばら撒いてくるか予想できませんが、見かけではウィルスと判断できないので、身に覚えの無いメールを開かない、クリックしない、即削除をお願いします。

(2008年6月4日追記)
 更にDoubleclickを経由せず直接誘導するものも現れました。
送信者: "brigham courtney" (hbadc@hbadc.org)
件名 : Your video file ******
日時 : 2008年6月4日 7:35

ttp://aluguelsaopedro.com/ex.html
 最早偽装もへったくれも無いですが、こんなんで引っかかるのか?(なお******は公式アドレスのユーザ名です)
 このスパムの発信地はスペイン・マドリードでした。


(2008年6月5日追記)
下記ブースカさんからのコメントにあるスパムが私にも届いています。(URLを一部伏せます)
送信者: "haroun ollie" (www.info@autorijschoolopweg.nl)
件名 : Downloadable porno DVD's for free
日時 : 2008年6月5日 2:44

Full length porno movies
ttp://www.flexist**.cz/main.html
 私はウィルスバスターに「スパイウェア!」と止められたのでそれ以上進むのをやめましたが、ブースかさんによると、YouTubeの様な画面が出てきてウィルスを仕込んでくるとのこと。
 昨年夏届いたこのエントリのスパムのようなものでしょうか。
 重ねてご注意下さい。
 なお、このスパムの発信地は米フロリダ州・ペンサコーラでした。

 さてこれは英文ですが、この2日付けでこれらのスパムに対する注意喚起を促している記事がありました。「Google fixes redirects, now it's DoubleClick's turn」(Sunbelt BLOG)

 以前からGoogle.comへのリンクを装い、実はマルウェアを仕込むサイトにリダイレクトさせるスパムがあって、先月25日からその偽装サイトがGoogleからDoubluclickに移っていたとのことです。

 これに触れたCNET Japanのニュースが6月3日付けでありました(Doubleclickと題していなくて気づきませんでした)。
 そう言えばこんな感じのスパムが以前からたくさん来ていました。
送信者: "gregor andrzej" (ewd6@on-the-train.demon.co.uk)
件名 : Providing quality meds since 1996
日時 : 2008年5月12日 16:35

Providing quality meds since 1996
ttp://www.google.com/pagead/iclk?sa=l&ai=mUWPSx&num=20799&adurl=http://www.solution***.de/redir.html
 この形式のURLを埋め込んだスパムは多くはED治療薬の販売サイトをGoogleが宣伝していると見せかけるものが多いのですが、今気づいてみればウィルス、マルウェア等に導くものがあったようです。

(2008年6月6日追記)
下記ブースカさんの6月6日13:19のコメントにあるHTMLメールが私にも届いています。
送信者: "erl ajai" (gustavo@gsln02e.et.gs.com)
件名 : Free porno DVD's to download
日時 : 2008年6月6日 17:15

   No credit card needed

 青い文字が、www.dogpile.comを踏み台にして上記6月5日追記のURLのhtmlファイルにリンクされていました。

また、こんなものも(URLを一部伏せました)
送信者: "egan xiao" (matthews@ccpa.net)
件名 : You look really stupid makey
日時 : 2008年6月6日 14:29

ttp://impresalav***.it/video1.exe
 色々恐ろしいスパムが飛び交っております。
 未知のURLをクリックしないようご注意下さい。
タグ:DoubleClick
posted by 末期ぃ at 23:22 | 宮城 ☁ | 対策と注意点 | Comment(17) | TrackBack(0)
この記事へのコメント
1件目と同じメールが来ていますが、何も表示されずページをクリックしても変化有りません。ttp://objektid.de/ここでしたページが不完全な様子です。
http://www.ipa.go.jp/security/outline/todokede-j.html のウェブ届出フォームから届けですればいいと思います。
Posted by ブースカ at 2008年06月04日 01:16
ttp://objektid.de/を直接みたら見えましたvideo.exeがダウンロード開始しようといました。IPA
には届け済み。
Posted by ブースカ at 2008年06月04日 02:29
ttp://objektid.de/は、いたって普通のウェブサイトに見えますが特殊なHTLMをつけるとvideo.exeがダウンロード開始しようといました。スパムのHTLMです。
Posted by ブースカ at 2008年06月04日 02:45
お世話様です。
どんな形で攻めてくるか予想つきませんね。
怪しいスパムをクリックしないように心がけましょう。
Posted by 末期ぃ at 2008年06月04日 09:27
emmy alun <info:aero-shaft-wickelwellen.de>
Your video file ******
ttp://www.flexistav.cz/ex.htm*
追記したものも来ました。
Posted by ブースカ at 2008年06月04日 12:10
dwayne luigi <ouqir@gititire.com>
You look really stupid *****
ttp://injoybox.com/video1.ex
video.exeの亜種
Posted by ブースカ at 2008年06月04日 12:35
生のURLを送って来るところは、DoubleClick社への注意が効いたのか?
Posted by ブースカ at 2008年06月04日 13:13
またまた飛来
fabio tandy <a.schunick:jfs.org>
件名:Your video file ****
ttp://ieee.rs.ba/ex.ht
Posted by ブースカ at 2008年06月04日 17:09
2件目は、ウィルスサイトでないですね。通常のサイトみたいです。どうやらウィルスをまくサイトと通常のサイトが有るみたいです。ウィルスサイトはDoubleClick社から切り離された様子です。またいつ発生するかわかりませんが。
Posted by ブースカ at 2008年06月04日 18:03
私のブログもIPAの記事を書いたらその記事のアクセスが多くなりました。
Posted by ブースカ at 2008年06月04日 18:21
たくさんの事例報告ありがとうございます。
どこかIT関連ニュースサイトに載るかと見ているのですが、日本以外も含めてなかなか出てこないですね。
結構しつこいのですけどねえ。
Posted by 末期ぃ at 2008年06月04日 22:07
新しい手口
conrado alok <bigbob:planet.nl>
件名:Downloadable porno DVD's for free
Full length porno movies
ttp://www.flexist*v.cz/main.html
You tubeな画面が出てvideo.exeをダウンロードさせます。
Posted by ブースカ at 2008年06月05日 11:12
ありがとうございます。
同じスパムが私にも未明に届いていました。
今回はウィルスバスターでブロックしていましたが、アップデートをしていなければごく普通のファイル名だけに、簡単に引っかかりますね。
Posted by 末期ぃ at 2008年06月05日 13:23
HTMLメールも飛来しましたが、アクティブXのダウンロードをするため信頼出来ないサイトなので打ち切りました。
Posted by ブースカ at 2008年06月06日 13:19
HTMLメールは私にも届きましたので、陳列してみました。
まだいろんな手で来そうですね。
Posted by 末期ぃ at 2008年06月06日 21:21
DoubleClick社の避弱性は、私が指摘したからかしら?
Posted by ブースカ at 2008年06月06日 23:26
5日の追記で書いたSunbelt BLOG(UTの2日)によると先月25日に「踏み台」がgoogleからDoubleClickに変わった、とトレースしていたようです。
ブースカさんのクレームは2日(JST)なので早かった可能性は高いですね。
Posted by 末期ぃ at 2008年06月07日 00:04
コメントを書く
お名前: [必須入力]

メールアドレス: [必須入力]※公開はしません

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック