Mobile it! 広告及びスポンサー募集中: 詳しくは banner AT rep2.rbl.jp にお問い合わせください
Prev 2006.5 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
Today: Yesterday: Total:
2006年5月のエントリー 31 件中 1-5 件を ボックス表示リスト表示
次の 5 件 »

May 31, 2006

● ebay.comの偽サイト ttp://sirius.dns4ca.com:84/www.ebay.com/index.html
すでにサイトにはつながりません。5月26日に発見されたVISAの偽サイトと同じホストsirius.dns4ca.comにありました。

VISAは1日以内にサイトをつぶすと宣言していたはず。犯人が図に乗って同じサーバーにebay.comの偽サイトを立ち上げたもののこのホストの管理者にVISAからアクションがあってすぐ停止され、ついでにebayの偽サイトもつぶれたということでしょうか。ちなみにVISAからは丁寧な返事が来ています。

追記:
と思ったらやがて現れました。準備中だったようです。ebay.comに通報済み。

ebay

IDとパスワードを入れた後ボタンを押すと空白の画面のままになります。この時点でIDとパスワードが詐取されているはず。
● ebay.comの偽サイト ttp://68-112-225-131.static.oxfr.ma.charter.com:81/.change/
ClamAVでHTML.Phishing.Bank-485と検知されています。

charter.comはアメリカのCATVの回線です。ポート80の応答はありません。

サーバーの応答はApache/2.0.55 (Win32) PHP/4.4.1です。

ebay

パスワードを変更しろという画面。

ebay

カード番号詐取画面。

— posted by staff @ 08:05AM | TrackBack (0) |  top↑

May 30, 2006

● www.global-nuclear.org のチェーンメール:続報
セキュリティ対策が十分でないWindowsではアクセスしないよう注意してください。

ttp://www.global-nuclear.org/ のサイトを宣伝するチェーンメールがまた多数発生していますがウエブサイトにアクセスするとウイルスが仕込まれる件で詳細情報を求めていたところ以下の情報が寄せられました。
○検知したときの状況
Sleipnirにて、「ttp://www.global-nuclear.org」に直接アクセスすると、
その時点でウィルスバスターがEXPL_TXTRANGE.Aを検知し、Sleipnirが応答
なしになったのでタスクマネージャから強制終了。
その後、ウィルスバスターでドライブを全検索したが問題なし。

○各バージョン
・Windows XP Professional SP2 (Windows Updateで最新に更新済み)
・Internet Exlorer 6 (Version: 6.0.2900.2180.xpsp_sp2_gdr.050301-1519)
・Sleipnir (Version 2.40 beta1 (build.2402100))
・ウィルスバスター2005 (8.0.1001/3.461.00)
情報ありがとうございました。

このウイルスはさらにもう1つのウイルスを仕込むという情報がありますのでもしあなたがアクセスした場合には念のためウイルスチェックをしてください。

初めて発見したときにはスタッフのPC(Windows,MacOSX)には何も起こらなかったので愉快犯という判断をしていました。しかしながらこういう状況を知ると原爆反対のサイトに見せかけて、その裏ではウイルスを仕込んでゾンビPCを増殖させるという悪質な犯罪行為であったわけです。

● paypal.comの偽サイト ttp://host4-26.pool8175.interbusiness.it/joomla/sendmail/ignore%5Falert/privatecgi/ppuser/webscr/paypal.com/
ClamAVでHTML.Phishing.Bank-31と検知されています。トップページを見るとイタリアの個人のページがクラックされていることがわかります。

サーバーの応答はMicrosoft-IIS/6.0です。

paypalへ通報しました。フォームがあったのでこのサーバーのオーナーへも連絡しました。

paypal

出鱈目のIDでログインできます。

paypal

認証しているふりの画面です。

paypal

カード番号を含む個人情報詐取画面。(上部)

paypal

(下部)

● paypal.comの偽サイト ttp://0x50.0x38.0x36.0x92:88/?email=znome234@TRAP_ADDR.com
わかりやすい表記だと ttp://80.56.54.146:88/ となります。このアドレスはオランダで逆引きはf54146.upc-f.chello.nl、サーバーの応答はApache/1.3.33 (Win32) PHP/4.3.10です。

ポート80の応答は無いので犯人が立ち上げている可能性があります。paypalに通報しました。

paypal

あなたのブックマークは古いもので新しい入り口はこちら、と誘導します。

paypal

アドレスバーとebayツールバーが偽装されたもう1つの窓が画面一杯に開きパスワードを要求します。これでIDとパスワードは詐取されたことになります。ちなみにebayツールバーはどこもクリックできません。

● ebay.comの偽サイト ttp://www.lidiana234.szm.sk/Fishing-Boats_Offshore-Saltwater-Fishing-socmdZListingItemList-Fishing-Boats_Offshore-Saltwater-Fishing-socmdZListingItemList-Fishing-Boats_Offshore-Saltwate/
ClamAVでHTML.Phishing.Auction-115と検知されています。ポータルサイトがクラックされているようです。

www.lidiana234.szm.skのアドレスは212.5.219.5でスロバキア、逆引きは無し、サーバーの応答はApache/2.0.54、ModLayout/4.0.1aです。ebayに通報しました。

ebay

カード番号詐取画面です。詐取されたIDとパスワードはセキィリティホールのあるフォーム ttp://jmailer.starwave.com/cgi/mailform.dll を使ってmerge.marea@gmail.comに送られるようになっています。

● citibank.comの偽サイト ttp://www.yang.org/forum/slb/https/www.accountonline.com/AccountVerify.php
www.yang.orgのアドレスは66.160.166.27でアメリカ、逆引きはyang.org、サーバーの応答は以下です。
Apache/2.0.54 (Unix) mod_perl/1.99_09 Perl/v5.8.0 mod_ssl/2.0.54 OpenSSL/0.9.7d DAV/2 FrontPage/5.0.2.2635 PHP/4.4.0 mod_gzip/2.0.26.1a

個人のホームページがクラックされているようです。cyota.comに通報しました。

citibank

カード番号詐取画面です。

● ebay.comの偽サイト ttp://mail.esf.ru/signin.ebay.com/ws3/eBayISAPI.dll%3fSignIn&co_partnerId=2&pUserId=&siteid=0&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=http%253A%252F%252Fwww.ebay.com&pp=&pa2=&errmsg=&runame=&ruparams=&ruproduct=&sid=&favoritenav=&confirm=&ebxPageType=&existingEmail=&isCheckout=&migrateVisitor=/
mail.esf.ruのアドレスは213.33.206.38でロシア、逆引きは同じ、サーバーの応答は以下です。
Apache/2.0.40 (ASPLinux) PHP/4.2.2 mod_ssl/2.0.40 OpenSSL/0.9.7a DAV/2

ウェブメールのサーバーがクラックされているようです。ebayに通報しました。

ebay

何回か出鱈目でログインしたのですが下のエラーになります。

ebay

IDとパスワードを詐取するのが目的のようです。

— posted by staff @ 07:42AM | TrackBack (0) |  top↑

May 29, 2006

● www.global-nuclear.org のチェーンメール
ttp://www.global-nuclear.org/ のサイトを宣伝するチェーンメールがまた多数発生しています。今回は英文になりましたが差出人は日本人のメールアドレスです。

これが今回のサンプルでトラップアドレスに届いています。

メールアドレスは絶対登録しないようにしましょう

通報がありました。その方の連絡では「ホームページにアクセスしたところウィルスバスターがEXPL_TXTRANGE.Aを検知した」とのことです。このウイルスはいわゆるゼロデイ攻撃のウイルスでアップデートの済んでいないIEだとすぐに感染してしまうので注意。

スタッフが再度アクセスし空欄のままボタンを押してもみたのですがIEをアップデートしてあるせいか何も起こりませんでした。ファイルとして保存しウイルスチェックをしても発見されませんでした。これに関して別の結果が出た方の詳細な情報をお待ちしています。アクセスする場合にはウイルスパターンを最新版にするなど十分な注意をしてください。危険ですからセキュリティの備えや知識の無い方は面白半分でアクセスしないように。ウイルスに感染しますよ。

● chase.comの偽サイト ttp://www.chaseonlinebanking.us/colappmgr/colportal/prospect.php?_nfpb=change_form
ClamAVでHTML.Phishing.Bank-485と検知されています。

www.chaseonlinebanking.usのアドレスは203.244.164.150で韓国、逆引きが珍しくありbi.daegu.ac.krです。韓国の大学がクラックされています。

サーバーの応答Apache/1.3.31 (Unix) PHP/4.3.7です。cyota.comに通報しました。

chase

出鱈目のIDを入れると一旦エラーになります。

chase

エラーとびっくりさせます。また出鱈目を入れると次に進みます。

chase

カード番号を含む個人情報詐取画面。(上部)

chase

(下部)

● paypal.comの偽サイト ttp://info-webscrs.com/usa/paypal/cgi-bin/webscr/login.php
下にある説明の
ttp://restore-login.com/usa/paypal/cgi-bin/webscr/login.php
と同じです。同じ詐欺サイトに対して複数のドメインを使っています。

ドメインinfo-webscrs.comは5月26日に取得され1年の期限です。取得日も同じです。

● ebay.comの偽サイト ttp://get-me.to/ebayupdates2006
get-me.toは無料レンタルサーバーです。犯人が加入したものと思われます。サイトはアメリカにあります。

ebay.comに通報しました。

ebay

カード番号詐取画面です。真似をしてガキが立ち上げたようなサイトでトップのところにバナー広告が出ます。
(上部)

ebay

(下部)

● paypal.comの偽サイト ttp://restore-login.com/usa/paypal/cgi-bin/webscr/login.php
アドレスは217.76.132.43でスペイン、逆引きはflgb662.serveursdns.net、サーバーの応答はApacheです。

ドメインrestore-login.comドメインはこの詐欺の為に取得されたもので5月26日の取得で1年の期限です。

paypal.comに通報しました。

paypal

出鱈目をいれても下のようにエラーになります。

paypal

この時点でIDとパスワードが盗まれています。

● ebay.comの偽サイト ttp://203.246.104.161/.../signin.ebay.com/eBayISAPI.dllSignIn/co_partnerId/=2pUserId=&siteid=0&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=&pp=&ruparams=&ruproduct=&sid=&favoritenav=&migrateVisitor=/eBayISAPI.dll2SignIn8co_partnerId.php
アドレス203.246.104.161は韓国、逆引きは無し、サーバーの応答はApache/1.3.27 (Unix) PHP/4.2.3です。

トップページはApacheのデフォルトページですがディレクトリがドットから始まっていることからクラックされている可能性があります。

ebay.comに通報しました。

ebay

出鱈目をいれても下のようにエラーになります。

ebay

エラー画面。この時点でIDとパスワードが盗まれています。

ebay

時間稼ぎなのか通信文を送るページ。

ebay

このあとクリックすると本物にサイトに飛びます。

● citibank.comの偽サイト ttp://18thcenturymerchant.com/uploads/https/www.accountonline.com/AccountVerify.php
アドレスは66.160.166.111で逆引きは同じ、サーバーの応答は以下:
Apache/2.0.54 (Unix) mod_perl/1.99_09 Perl/v5.8.0 mod_ssl/2.0.54 OpenSSL/0.9.7d DAV/2 FrontPage/5.0.2.2635 PHP/4.4.0 mod_gzip/2.0.26.1a

トップページを見ると販売のサイトなのでクラックされていると判断できます。

cyota.comに通報しました。

citibank

いきなりカード番号詐取画面です。

● paypal.comの偽サイト ttp://216-166-230-90.clec.commercial.madisonriver.net:81/update/
ClamAVでHTML.Phishing.Pay-34と検知されています。

調査した時点で接続が拒絶されます。
ポート80の応答はMicrosoftOfficeWebServer: 5.0_Pubです。ttp://10.0.0.2/Default.htmのローカルアドレスに転送されるようになっているので犯人が立ち上げている可能性もあります。

● paypal.comの偽サイト ttp://211.108.64.208/%20/www.paypal.com/update/cgi-bin/webscrcmd_login.php
ClamAVでHTML.Phishing.Pay-130と検知されています。

アドレス211.108.64.208は韓国、逆引きは無し、サーバーの応答はApache/1.3.34 (Unix) PHP/4.3.4。

paypal

出鱈目のIDでログインできます。

paypal

認証しているふりの画面。

paypal

カード番号詐取画面です。

● ebay.comの偽サイト ttp://acc144-yy7.info/https/ISAPIebay/login.htm
acc144-yy7.infoのアドレスは以下のように複数あります。全部ADSL/CATV回線上にあります。ゾンビPCによるフィッシングです。

24.13.8.149 == c-24-13-8-149.hsd1.il.comcast.net
24.116.180.109 == 24-116-180-109.cpe.cableone.net
64.53.175.197 == d53-64-197-175.nap.wideopenwest.com
68.59.54.95 == c-68-59-54-95.hsd1.fl.comcast.net
69.246.222.244 == c-69-246-222-244.hsd1.in.comcast.net

サーバーの応答は以下で全部同じです。OSは全部がWindowsです。
Server: Apache
X-Powered-By: PHP/5.1.2
Location: about:blank

DNSとして以下が登録されています。今回はゾンビPCでは無いようです。OSはどちらもFreeBSDが使われているようです。
NS1.VIP-ACC.COM == 208.65.60.104 == 逆引き無し、カナダ
NS2.VIP-ACC.COM == 66.199.241.34 == x-stacja.net

このDNSに使われているドメインVIP-ACC.COMは5月14日に取得され1年の期限なのでこれも詐欺に関係しているものと思われます。

ebay

出鱈目のIDでログインできます。

ebay

カード番号詐取画面です。

● ebay.comの偽サイト ttp://msl.tc.hgiga.com/.signin.ebay.com/eBayISAPI.dllSignIn/co_partnerId/=2pUserId=&siteid=0&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=&pp=&ruparams=&ruproduct=&sid=&favoritenav=&migrateVisitor=/eBayISAPI.dll2SignIn8co_partnerId.php
msl.tc.hgiga.comアドレスはすでにDNS上で消えています。ドメインhgiga.comは1999年に取得されているのでクラックされていたようです。www.hgiga.comは台湾のセキィリティ関連の会社でした。

● paypal.comの偽サイト ttp://www.lagrandeecole.com/accueil/menu_droite/modele/updates-paypal/
ClamAVでHTML.Phishing.Pay-51と検知されています。

www.lagrandeecole.comのアドレスは213.186.45.163でフランス、逆引きはns2405.ovh.net、サーバーの応答は以下:
Apache/1.3.34 (Unix) mod_gzip/1.3.19.1a PHP/4.4.2 mod_ssl/2.8.25 OpenSSL/0.9.6m

paypal

タイトルのURLのつなぐとこの画面が出た上でもう1つ画面一杯の窓が開きます。(下の画面)

paypal

アドレスバーが偽装されています。この画面から出鱈目のIDでログインできます。

paypal

認証しているふりをした画面が瞬間だけ表示されます。

paypal

カード番号詐取画面です。

● paypal.comの偽サイト ttp://163.30.58.13/c.html
ClamAVでHTML.Phishing.Bank-28と検知されています。

ここにアクセスすると ttp://www.paypal.com.h0m.us/webscr.php?cmd=LogIn に飛ばされます。

163.30.58.13の情報:
 国は台湾
 逆引きは無し
 サーバーの応答はMicrosoft-IIS/6.0

www.paypal.com.h0m.usの情報:
 アドレスは多数あり、yahoo.comのビジネスサービスを使って犯人が立ち上げているものと思われます。
 ドメインh0m.usは詐欺のために取得されたもので5月28日取得で1年の期限。

paypal

出鱈目のIDだと下のようにエラーとなります。

paypal

この時点でIDとパスワードが詐取されています。

— posted by staff @ 07:45AM | TrackBack (0) |  top↑

May 28, 2006

● www.global-nuclear.org のチェーンメール
ttp://www.global-nuclear.org/ のサイトを宣伝するチェーンメールがまた多数発生しています。今回は英文になりましたが差出人は日本人のメールアドレスです。

これがその例、トラップアドレスに到着しています。

メールアドレスは絶対登録しないようにしましょう

● co-operativebank.co.ukの偽サイト ttp://welcome7.cooperative-banking.com/CBIBSWeb/start.do
すでにelcome7.cooperative-banking.comのアドレスはDNS上から消えています。

ドメインcooperative-banking.comは5月25日に取得され1年の期限で詐欺のために取得されたものです。

● paypal.comの偽サイト ttp://ad.doubleclick.net/clk;32932974;11466062;i?ttp://www.paypal.com.anelpay.com/webscr.php?cmd=_login-run
doubleclick.netのリダイレクタを無断で使って
ttp://www.paypal.com.anelpay.com/webscr.php?cmd=_login-run
に飛ばされます。

www.paypal.com.anelpay.comはyahoo.comのビジネスサービスを使ってたちあがっています。犯人自身が加入したものと考えられます。

ドメインcooperative-banking.comは5月27日に取得され1年の期限で詐欺のために取得されたものです。paypalに通報しました。

paypal

何回かやったのですが下のようにエラーになります。

paypal

この時点でIDとパスワードが詐取されています、

● amazon.comの偽サイト ttp://www.amazon.com.ca34.us/exec/panama/ib/login/104-0996183-0754328/index.html
www.amazon.com.ca34.usのアドレスは多数あります。yahoo.comのレンタルサーバーを使っているため。

ドメインca34.usはこの詐欺の為にyahoo.comを経由して取得されたものと考えられます。取得日は5月26日、期限は1年です。

amazon

でたらめのIDでログインできます。

amazon

カード番号詐取画面です。

— posted by staff @ 10:00AM | TrackBack (0) |  top↑

May 27, 2006

● visa.comの偽サイト ttp://adsl-70-245-219-201.dsl.snantx.swbell.net:84/page/visa.html
サイトはアメリカにあります。SMTPの応答はinterzinum01.interzinum.comですがこのドメインが登録されていないためクラックされたのかどうか不明です。

ポート80はUnder Construction、応答はMicrosoft-IIS/5.0
ポート84の応答はApache/1.3.23 (Win32)

cyota.comに通報しました。

visa

カード番号詐取画面です。
● ebay.comの偽サイト ttp://www.withnet01.com/ws/.ebay/SingIneBay.html?/ws/eBayISAPI.dllSignIn&co_partnerId=2&pUserId=&siteid=0&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=http://www.ebay.com&pp=&pa2=&errmsg=&runame=&ruparams=&ruproduct=&sid=&favoritenav=&migrateVisitor=
また昨晩と同じ
ttp://cgi.business.allstream.net/cgi-bin/nbcmailform
を使ってbraila2007@yahoo.comに送られるようになっていますが、このCGIのサーバー自体がダウンしているので実行されません。

www.withnet01.comのアドレスは222.147.113.58で日本、逆引きはp4058-ipbffx02sasajima.aichi.ocn.ne.jp。

サーバーの応答は以下で企業のサイトがクラックされています。
Apache/1.3.20 Sun Cobalt (Unix) mod_ssl/2.8.4 OpenSSL/0.9.6b PHP/4.0.6 mod_auth_pam_external/0.1 FrontPage/4.0.4.3 mod_perl/1.25

日本の会社とebay.comに通報しました。

ebay

IDとパスワード詐取画面です。

— posted by staff @ 12:12AM | TrackBack (0) |  top↑

2006年5月のエントリー 31 件中 1-5 件を ボックス表示リスト表示
次の 5 件 »