ClamAVでHTML.Phishing.Pay-287と検知されています。トップページは66.1 Host Locked と表示されるのでゾンビPC詐欺のようです。

www.paypal-account91347.comのアドレスは83.228.24.4でブルガリア、逆引きは4-24-228-83.btc-net.bg、サーバー応答は以下
Server: Apache/1.3.37 (Unix) mod_ssl/2.8.28 OpenSSL/0.9.7e-p1 PHP/4.4.7 FrontPage/5.0.2.2510

ログイン画面

認証しているふりの画面

以下は口座情報詐取画面

ClamAVでHTML.Phishing.Bank-164と検知されています。11:01時点でConnection refusedとなります。

core.clf.htcomp.netのアドレスは64.209.36.226でアメリカ、逆引き無し。

23:40現在エラーになります。偽サイトのコンテンツは消されたようです。

ClamAVでHTML.Phishing.Bank-473と検知されています。トップページは以下のメッセージ。
Can not open the vhcs2.conf config file !
Pleas contact your system administrator

madrid10.worldbone.deのアドレスは82.210.30.70でドイツ、逆引きは82.210.30.70.rev.worldbone.de、サーバー応答はServer: Apache/2.0.54 (Debian GNU/Linux) PHP/4.3.10-21

ゾンビPC詐欺サイトです。

URLは以下

ttp://ww9.tdbanknorth.com.prt27.co.uk/wcmfd/wcmpw/CustomerVerify.htm?host=3D20nkeDrhrpzZOrhrpzOkhb

アドレスは以下
200.162.236.177 == 200-162-236-177.static-corp.ajato.com.br
24.4.78.203 == c-24-4-78-203.hsd1.ca.comcast.net
65.24.119.221 == cpe-65-24-119-221.columbus.res.rr.com
68.62.59.28 == c-68-62-59-28.hsd1.mi.comcast.net
70.72.167.190 == S010600c0f017452f.cg.shawcable.net
74.138.177.18 == 74-138-177-18.dhcp.insightbb.com
75.182.45.91 == cpe-075-182-045-091.sc.res.rr.com
75.65.152.176 == c-75-65-152-176.hsd1.ms.comcast.net
76.181.81.123 == cpe-76-181-81-123.columbus.res.rr.com
76.24.253.19 == c-76-24-253-19.hsd1.ma.comcast.net
83.55.204.134 == 134.Red-83-55-204.dynamicIP.rima-tde.net
98.207.66.34 == c-98-207-66-34.hsd1.ca.comcast.net
98.216.242.104 == c-98-216-242-104.hsd1.ma.comcast.net
99.250.28.219 == CPE001422e31276-CM001bd7135cda.cpe.net.cable.rogers.com

ログイン画面、このあと本物のサイトに飛ばされます。

ClamAVでHTML.Phishing.Bank-550と検知されています。ゾンビPC詐欺です。

アドレスは以下
67.160.54.252 == c-67-160-54-252.hsd1.wa.comcast.net
67.189.157.223 == c-67-189-157-223.hsd1.ct.comcast.net
68.37.180.45 == c-68-37-180-45.hsd1.pa.comcast.net
69.222.67.154 == adsl-69-222-67-154.dsl.sfldmi.ameritech.net
84.125.10.161 == 84.125.10.161.dyn.user.ono.com

ドメインboasecure.comは7月25日取得、1年の期限なので詐欺の為に取得されたもの。

口座情報詐取画面

ClamAVでEmail.Phishing.DblDom-124と検知されています。連日観測されているゾンビPC詐欺サイトです。

URLは以下

ttp://chaseonline.chase.com.srv4.com.es/Secure/webform/OSL.aspx?LOB=     067472029405798807755928766044132574406427254140715211&refer=1611931

07:48現在アドレスが引けません。

トップページはディレクトリ丸見え画面。

mbukdlh.comはyahoo.comのビジネスサービス(レンタルサーバー)を使って立ち上げられています。

ドメインmbukdlh.comは7月17日取得、1年の期限。

ログイン画面、このあと本物のサイトに飛ばされます。
画面上部の赤い帯はFirefox3のフィッシング警告機能が働いたために出ています。

ClamAVでEmail.Phishing.DblDom-124と検知されています。連日観測されているゾンビPC詐欺サイトです。

URLは以下

ttp://chaseonline.chase.com.file3.org/Secure/webform/OSL.aspx?LOB=    51195568785889939623526997018248995423794765520449386695&refer=6817448599
ttp://chaseonline.chase.com.servdl1.com.ua/Secure/webform/OSL.aspx?LOB=  93135567636003445166897862601111938919554466&refer=424445176577858
午後の部
ttp://chaseonline.chase.com.servdl1.net/Secure/webform/OSL.aspx?LOB= 819627242224414889409332575560874535837112415550&refer=0886340
ttp://chaseonline.chase.com.file3.org/Secure/webform/OSL.aspx?LOB=       0745903794308924515897590219749164699628856346176&refer=491559265795
ttp://chaseonline.chase.com.file3.org/Secure/webform/OSL.aspx?LOB=  1936476707428310454990170553316941649263949021099591617391199&refer=236249986

アドレスは以下
61.193.63.233 == FLA1Aab105.nig.mesh.ad.jp
81.181.17.57 == 逆引き無し、ルーマニア
82.33.40.108 == 82-33-40-108.cable.ubr04.stav.blueyonder.co.uk
82.166.131.46 == 82.166.131.46.biu-dynamic.barak-online.net
84.109.128.210 == bzq-84-109-128-210.red.bezeqint.net
午後の部
82.137.40.173 == 82-137-40-173.rdsnet.ro
82.166.131.46 == 82.166.131.46.biu-dynamic.barak-online.net
84.109.128.210 == bzq-84-109-128-210.red.bezeqint.net
85.204.95.106 == 逆引き無し、ルーマニア
86.76.60.102 == 102.60.76-86.rev.gaoland.net
220.125.177.110 == 逆引き無し、ルーマニア
221.127.171.219 == 逆引き無し、香港

ClamAVでHTML.Phishing.Pay-237と検知されています。トップページは趣味のサイトのようです。spam書き込みが多数あるページもあってあまりメンテナンスされていないサイトと考えられます。

ns.kappa119.comのアドレスは210.166.211.53で日本、逆引きはns.kappa119.com、サーバー応答はServer: Apache/2.0.51 (Fedora)

ログイン画面

必ずエラーになるようです

jpcert.or.jpとprox.ne.jpに通報しました。

ClamAVでEmail.Phishing.DblDom-124と検知されています。連日観測されているゾンビPC詐欺サイトです。

URLは以下

ttp://chaseonline.chase.com.serv1.me.uk/Secure/webform/OSL.aspx?LOB= 096505207792626453018095659038193236721636035545641&refer=548651141845537
ttp://chaseonline.chase.com.servdl1.org/Secure/webform/OSL.aspx?LOB=      98157362323822753067433003303729517720256518345416&refer=8059519
ttp://chaseonline.chase.com.servdl1.com/Secure/webform/OSL.aspx?LOB=    4437279092429741949219531832913974208279940796360&refer=43926887540
ttp://chaseonline.chase.com.servdl1.net/Secure/webform/OSL.aspx?LOB=     316320792872937766341320489909070399428162088833232&refer=09878111
ttp://chaseonline.chase.com.servdl1.com.ua/Secure/webform/OSL.aspx?LOB=      47470327781867938170607657218586047437090719238&refer=46229300774445
ttp://chaseonline.chase.com.srv4.com.es/Secure/webform/OSL.aspx?LOB=    18169496647014614840269164436793329833114283844808967448733&refer=87528191
ttp://chaseonline.chase.com.srv3.com.es/Secure/webform/OSL.aspx?LOB=    499560151355553145386548006689083655781089037869392862&refer=714369739474988
ttp://chaseonline.chase.com.servdl1.com/Secure/webform/OSL.aspx?LOB=   817807207416282234218991002343937111503024529264887251&refer=4072710042920

アドレスは以下
193.151.254.88 == 193.151.254.88.nash.net.ua
217.132.108.91 == CBL217-132-108-91.bb.netvision.net.il
218.42.63.43 == FLA1Aas043.tky.mesh.ad.jp
82.208.146.76 == 逆引き無し、ルーマニア
85.65.23.164 == 85.65.23.164.dynamic.barak-online.net