フィッシング詐欺サイト情報
Yesterday: 
ClamAVでHTML.Phishing.Pay-99と検知されています。
www.namong.co.krのアドレスは222.122.56.136で韓国、逆引きは無し。サーバー名からクラックされていることがわかります。
サーバーの応答はApache/1.3.33 (Unix) mod_throttle/3.1.2 PHP/4.3.11です。
www.namong.co.krのアドレスは222.122.56.136で韓国、逆引きは無し。サーバー名からクラックされていることがわかります。
サーバーの応答はApache/1.3.33 (Unix) mod_throttle/3.1.2 PHP/4.3.11です。
● hsbc.co.ukの偽サイト ttp://hsbc.usrvalidation.cn/HSBC/secure/login/index.html
ClamAVでHTML.Phishing.Bank-443と検知されています。
アドレスは複数あり以下の通りです。またゾンビPCによるフィッシングです。
82.226.184.84 gar31-2-82-226-184-84.fbx.proxad.net
82.239.154.248 ien11-1-82-239-154-248.fbx.proxad.net
82.241.153.203 gsy59-1-82-241-153-203.fbx.proxad.net
サーバーの応答全部同じで以下の通りです。ゾンビフィッシングは同じウイルスが遠隔からのコマンドで同時に活性化するので同じ応答になるのが特徴です。
Apache/2.0.54 (Debian GNU/Linux) mod_python/3.1.3 Python/2.3.5 PHP/4.3.10-16 mod_perl/1.999.21 Perl/v5.8.4
DNSは以下の通りです。これもゾンビPCです。
ns1.butymr.com 81.177.37.9 逆引き無し、ロシア
ns2.butymr.com 82.239.154.248 ien11-1-82-239-154-248.fbx.proxad.net
ns3.butymr.com 82.241.149.159 val59-2-82-241-149-159.fbx.proxad.net
ns4.butymr.com 82.241.153.203 gsy59-1-82-241-153-203.fbx.proxad.net これと、
ns5.butymr.com 82.231.252.200 tin51-1-82-231-252-200.fbx.proxad.net これはport 80の応答あり
サーバーの応答はいずれも同じLinuxと返るのですが偽装であって実際には全部Windowsです。
Webのドメインusrvalidation.cnは4月24日取得、1年の期限、
DNSのドメインbutymr.com は4月6日取得、1年の期限でいずれもこの詐欺のために取得したものと思われます。詐欺に中国のドメインを使うのは珍しいことですね。
アドレスは複数あり以下の通りです。またゾンビPCによるフィッシングです。
82.226.184.84 gar31-2-82-226-184-84.fbx.proxad.net
82.239.154.248 ien11-1-82-239-154-248.fbx.proxad.net
82.241.153.203 gsy59-1-82-241-153-203.fbx.proxad.net
サーバーの応答全部同じで以下の通りです。ゾンビフィッシングは同じウイルスが遠隔からのコマンドで同時に活性化するので同じ応答になるのが特徴です。
Apache/2.0.54 (Debian GNU/Linux) mod_python/3.1.3 Python/2.3.5 PHP/4.3.10-16 mod_perl/1.999.21 Perl/v5.8.4
DNSは以下の通りです。これもゾンビPCです。
ns1.butymr.com 81.177.37.9 逆引き無し、ロシア
ns2.butymr.com 82.239.154.248 ien11-1-82-239-154-248.fbx.proxad.net
ns3.butymr.com 82.241.149.159 val59-2-82-241-149-159.fbx.proxad.net
ns4.butymr.com 82.241.153.203 gsy59-1-82-241-153-203.fbx.proxad.net これと、
ns5.butymr.com 82.231.252.200 tin51-1-82-231-252-200.fbx.proxad.net これはport 80の応答あり
サーバーの応答はいずれも同じLinuxと返るのですが偽装であって実際には全部Windowsです。
Webのドメインusrvalidation.cnは4月24日取得、1年の期限、
DNSのドメインbutymr.com は4月6日取得、1年の期限でいずれもこの詐欺のために取得したものと思われます。詐欺に中国のドメインを使うのは珍しいことですね。
● chase.comの偽サイト ttp://144.131.128.26/chase.html
ClamAVでHTML.Phishing.Bank-392と検知されています。
アドレス144.131.128.26はオーストラリアで逆引きはCPE-144-131-128-26.nsw.bigpond.net.au
です。
トップページにつなぐとIntellgent Buisness Systemという名前が見えるのでクラックされていると判断できます。
サーバーの応答はApache/2.0.54 (Fedora)です。
アドレス144.131.128.26はオーストラリアで逆引きはCPE-144-131-128-26.nsw.bigpond.net.au
です。
トップページにつなぐとIntellgent Buisness Systemという名前が見えるのでクラックされていると判断できます。
サーバーの応答はApache/2.0.54 (Fedora)です。
● paypal.comの偽サイト ttp://www.e-fluxus.com/~admin/_vti_conf/www.paypal.com/sysdll.php
ClamAVでHTML.Phishing.Pay-51と検知されています。
アドレスバーが偽装されています。日本語ブラウザではフォントのサイズが違うなどして一段下のところに偽装部分が表示されます。重なった場合でも「アドレス」ではなく[Address」となるので気がつくかもしれません。(でも普通はきがつかないですよね)
www.e-fluxus.comのアドレスは200.58.114.136でアルゼンチン、逆引きはe-fluxus.comです。販売サイトがクラックされています。
サーバーの応答は以下です。
Server: Apache/1.3.33 (Unix) mod_auth_passthrough/1.8 mod_bwlimited/1.4mod_log_bytes/1.2 mod_ssl/2.8.22 OpenSSL/0.9.7e FrontPage/5.0.2.2635
アドレスバーが偽装されています。日本語ブラウザではフォントのサイズが違うなどして一段下のところに偽装部分が表示されます。重なった場合でも「アドレス」ではなく[Address」となるので気がつくかもしれません。(でも普通はきがつかないですよね)
www.e-fluxus.comのアドレスは200.58.114.136でアルゼンチン、逆引きはe-fluxus.comです。販売サイトがクラックされています。
サーバーの応答は以下です。
Server: Apache/1.3.33 (Unix) mod_auth_passthrough/1.8 mod_bwlimited/1.4mod_log_bytes/1.2 mod_ssl/2.8.22 OpenSSL/0.9.7e FrontPage/5.0.2.2635
● chase.comの偽サイト ttp://www.belende.com/.webSQL/login.htm
ClamAVでHTML.Phishing.Pay-16と検知されています。
www.belende.comのアドレスは以下のように複数あります。ゾンビPCを使ったフィッシングです。
67.173.157.167 c-67-173-157-167.hsd1.il.comcast.net
70.247.55.158 ppp-70-247-55-158.dsl.hstntx.swbell.net
82.155.19.251 bl6-19-251.dsl.telepac.pt
82.237.111.110 lib59-2-82-237-111-110.fbx.proxad.net
サーバーの応答はいずれも同一でApache/2.0.55 (Debian) PHP/4.4.2-1と返ります。同じ応答をするのは同じウイルスであるためでゾンビPCによるフィシングの特徴です。実際にはウイルスに感染したWindowsが使われています。
ドメインbelende.comは4月21日に取得されたばかりなので詐欺のために用意したものです。期限は1年です。
DNSは以下が使われています。これもゾンビPCです。
ns1.dirtypark.com 70.247.55.158 ppp-70-247-55-158.dsl.hstntx.swbell.net http応答Apache/2.0.55 (Debian) PHP/4.4.2-1
ns2.dirtypark.com 66.55.71.162 66-55-71-162.yourhostingprovider.net http応答無し
ns3.dirtypark.com 66.55.71.162 以下同じ
ns4.dirtypark.com 66.55.71.162
ns5.dirtypark.com 66.55.71.162
ドメインdirtypark.comも4月20日に取得され1年の期限なので今回の詐欺用と思われます。
www.belende.comのアドレスは以下のように複数あります。ゾンビPCを使ったフィッシングです。
67.173.157.167 c-67-173-157-167.hsd1.il.comcast.net
70.247.55.158 ppp-70-247-55-158.dsl.hstntx.swbell.net
82.155.19.251 bl6-19-251.dsl.telepac.pt
82.237.111.110 lib59-2-82-237-111-110.fbx.proxad.net
サーバーの応答はいずれも同一でApache/2.0.55 (Debian) PHP/4.4.2-1と返ります。同じ応答をするのは同じウイルスであるためでゾンビPCによるフィシングの特徴です。実際にはウイルスに感染したWindowsが使われています。
ドメインbelende.comは4月21日に取得されたばかりなので詐欺のために用意したものです。期限は1年です。
DNSは以下が使われています。これもゾンビPCです。
ns1.dirtypark.com 70.247.55.158 ppp-70-247-55-158.dsl.hstntx.swbell.net http応答Apache/2.0.55 (Debian) PHP/4.4.2-1
ns2.dirtypark.com 66.55.71.162 66-55-71-162.yourhostingprovider.net http応答無し
ns3.dirtypark.com 66.55.71.162 以下同じ
ns4.dirtypark.com 66.55.71.162
ns5.dirtypark.com 66.55.71.162
ドメインdirtypark.comも4月20日に取得され1年の期限なので今回の詐欺用と思われます。
● chase.comの偽サイト ttp://www.spangabang.com/webauth/index.htm
ClamAVでHTML.Phishing.Pay-16と検知されています。
12:55現在www.spangabang.comのアドレスは引けません。
ドメインspangabang.comは4月21日に取得されたばかりなので詐欺のために用意したものと考えられます。期限は1年です。
12:55現在www.spangabang.comのアドレスは引けません。
ドメインspangabang.comは4月21日に取得されたばかりなので詐欺のために用意したものと考えられます。期限は1年です。
● paypal.comの偽サイト ttp://61.197.254.156/home/.paypal-sk/update-paypal/cgi-bin/secure/login/login.html
ClamAVでHTML.Phishing.Pay-34と検知されています。
日本の某大学の同窓会のホームページがクラックされています。
アドレス61.197.254.156は日本で逆引きはありません。
サーバーの応答はApache/1.3.27 ( Linux ) PHP/4.3.1です。BBSがあったのでそこから通報しました。
追記:
4時間経過してもまだ気がつかないようなので大学にも通報しました。
日本の某大学の同窓会のホームページがクラックされています。
アドレス61.197.254.156は日本で逆引きはありません。
サーバーの応答はApache/1.3.27 ( Linux ) PHP/4.3.1です。BBSがあったのでそこから通報しました。
追記:
4時間経過してもまだ気がつかないようなので大学にも通報しました。
— posted by staff @ 08:09AM
| TrackBack(0)
