我々のスパムトラップは、この24時間に渡って、新しいSinowal (zbot)キャンペーンに関連した数千の悪意あるスパムメールを受け取りました。
このメールはCenters for Disease Control (米疾病対策センター)のWebサイトでH1N1 (新型インフルエンザワクチンのためのプロフィールを作ると見せかけてユーザーを騙そうと試みます。
メールの内容:あなたがこのメールを受信されたのは、State Vaccination H1N1 Program(新型インフルエンザに関する州のワクチンプログラム)が実施されているためです。
あなたは米疾病対策センターのWebサイトで、H1N1(新型インフルエンザ)ワクチン用の個人プロフィールを作成する必要があります。
ワクチンの接種自身は義務ではありませんが、18歳以上の年齢に達した人は全てこのWebサイト上でワクチンの個人プロフィールを持たなければいけません。
このプロフィールは、ワクチンを接種済みの人もまだ接種していない人も共に作成が必要です。これは、ワクチン接種の有無に関する登録システムで使用されます。
こちらのリンクからあなたの新型インフルエンザワクチン プロフィールを作成して下さい。
個人プロフィールを作る
----
Centers for Disease Control and Prevention (CDC) - 1600 Clifton Rd - Atlanta GA 30333 - 800-CDC-INFO (800-232-4636)
この悪意あるスパムキャンペーンで使われる(いくつかの)Webサイトは、全てonline.cdc.gov.(悪意あるドメイン)からスタートしており、その信憑性によって、最も疑い深いユーザーでさえ簡単に信じさせることができました。
サイトの内容:あなたの新型インフルエンザ個人プロフィールは電子ドキュメントで、あなたの名前、コンタクト情報、治療歴(幼児期からの持病の種類や特定の薬に対するアレルギーの種類)を含んでいます。あなたが必要とする全ての説明は下記のアーカイブにあります。
あなたの仮 ID(48時間有効) H1N1-1574377270
H1N1ワクチンプロフィール - ダウンロードアーカイブ(130Kb)
このキャンペーンのメールは、異なる6種類の件名をを使っています。
最も多い件名は「Governmental registration program and Creation of personal VaccinationProfile(政府登録プログラムと個人ワクチンプロフィールの作成)」です。
感染情報:
Sinowal.WRNは、Windowsシステムディレクトリ上にSDRA64.EXEとして自身のコピーを作ります。
さらに、以下のファイルを作り、獲得した情報を格納します。
* lowsec フォルダ内にLOCAL.DS 及び USER.DS が、Windowsシステムディレクトリに自身によって作られます
* 8.TMP 及び 9.TMPが、WindowsディレクトリのTempフォルダに作られます。
Sinowal.WRN は、Windowsレジストリのエントリを以下のように書き換えます:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
windowsl1vi = %sysdir%\%random file%.exe
ここでの %sysdir% はWindowsシステムディレクトリ、 %random file% はトロイの木馬がコピーされたファイル名です。
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
Userinit = %sysdir%\userinit.exe
ここでの %sysdir% はWindowsシステムディレクトリ。
これは次のように変えられます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
Userinit = %sysdir%\userinit.exe,%sysdir%\sdra64.exe
このエントリの書き換えによって、Sinowal.WRN はWindowsが起動される時はいつでも確実に実行されるようになります。
また、マルウェアの作成国はウクライナです。
投稿
0 件のコメント:
コメントを投稿