(cache) フィッシング詐欺サイト情報

May 30, 2006

● www.global-nuclear.org のチェーンメール：続報

セキュリティ対策が十分でないWindowsではアクセスしないよう注意してください。

ttp://www.global-nuclear.org/ のサイトを宣伝するチェーンメールがまた多数発生していますがウエブサイトにアクセスするとウイルスが仕込まれる件で詳細情報を求めていたところ以下の情報が寄せられました。

○検知したときの状況
Sleipnirにて、「ttp://www.global-nuclear.org」に直接アクセスすると、
その時点でウィルスバスターがEXPL_TXTRANGE.Aを検知し、Sleipnirが応答
なしになったのでタスクマネージャから強制終了。
その後、ウィルスバスターでドライブを全検索したが問題なし。

○各バージョン
・Windows XP Professional SP2 (Windows Updateで最新に更新済み)
・Internet Exlorer 6 (Version: 6.0.2900.2180.xpsp_sp2_gdr.050301-1519)
・Sleipnir (Version 2.40 beta1 (build.2402100))
・ウィルスバスター2005 (8.0.1001/3.461.00)

情報ありがとうございました。

このウイルスはさらにもう１つのウイルスを仕込むという情報がありますのでもしあなたがアクセスした場合には念のためウイルスチェックをしてください。

初めて発見したときにはスタッフのPC(Windows,MacOSX)には何も起こらなかったので愉快犯という判断をしていました。しかしながらこういう状況を知ると原爆反対のサイトに見せかけて、その裏ではウイルスを仕込んでゾンビPCを増殖させるという悪質な犯罪行為であったわけです。

● paypal.comの偽サイト ttp://host4-26.pool8175.interbusiness.it/joomla/sendmail/ignore%5Falert/privatecgi/ppuser/webscr/paypal.com/

ClamAVでHTML.Phishing.Bank-31と検知されています。トップページを見るとイタリアの個人のページがクラックされていることがわかります。

サーバーの応答はMicrosoft-IIS/6.0です。

paypalへ通報しました。フォームがあったのでこのサーバーのオーナーへも連絡しました。

出鱈目のIDでログインできます。

認証しているふりの画面です。

カード番号を含む個人情報詐取画面。（上部）

（下部）

● paypal.comの偽サイト ttp://0x50.0x38.0x36.0x92:88/?email=znome234@TRAP_ADDR.com

わかりやすい表記だと ttp://80.56.54.146:88/ となります。このアドレスはオランダで逆引きはf54146.upc-f.chello.nl、サーバーの応答はApache/1.3.33 (Win32) PHP/4.3.10です。

ポート80の応答は無いので犯人が立ち上げている可能性があります。paypalに通報しました。

あなたのブックマークは古いもので新しい入り口はこちら、と誘導します。

アドレスバーとebayツールバーが偽装されたもう１つの窓が画面一杯に開きパスワードを要求します。これでIDとパスワードは詐取されたことになります。ちなみにebayツールバーはどこもクリックできません。

● ebay.comの偽サイト ttp://www.lidiana234.szm.sk/Fishing-Boats_Offshore-Saltwater-Fishing-socmdZListingItemList-Fishing-Boats_Offshore-Saltwater-Fishing-socmdZListingItemList-Fishing-Boats_Offshore-Saltwate/

ClamAVでHTML.Phishing.Auction-115と検知されています。ポータルサイトがクラックされているようです。

www.lidiana234.szm.skのアドレスは212.5.219.5でスロバキア、逆引きは無し、サーバーの応答はApache/2.0.54、ModLayout/4.0.1aです。ebayに通報しました。

カード番号詐取画面です。詐取されたIDとパスワードはセキィリティホールのあるフォーム ttp://jmailer.starwave.com/cgi/mailform.dll を使ってmerge.marea＠gmail.comに送られるようになっています。

● citibank.comの偽サイト ttp://www.yang.org/forum/slb/https/www.accountonline.com/AccountVerify.php

www.yang.orgのアドレスは66.160.166.27でアメリカ、逆引きはyang.org、サーバーの応答は以下です。
Apache/2.0.54 (Unix) mod_perl/1.99_09 Perl/v5.8.0 mod_ssl/2.0.54 OpenSSL/0.9.7d DAV/2 FrontPage/5.0.2.2635 PHP/4.4.0 mod_gzip/2.0.26.1a

個人のホームページがクラックされているようです。cyota.comに通報しました。

カード番号詐取画面です。

● ebay.comの偽サイト ttp://mail.esf.ru/signin.ebay.com/ws3/eBayISAPI.dll%3fSignIn&co_partnerId=2&pUserId=&siteid=0&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=http%253A%252F%252Fwww.ebay.com&pp=&pa2=&errmsg=&runame=&ruparams=&ruproduct=&sid=&favoritenav=&confirm=&ebxPageType=&existingEmail=&isCheckout=&migrateVisitor=/

mail.esf.ruのアドレスは213.33.206.38でロシア、逆引きは同じ、サーバーの応答は以下です。
Apache/2.0.40 (ASPLinux) PHP/4.2.2 mod_ssl/2.0.40 OpenSSL/0.9.7a DAV/2

ウェブメールのサーバーがクラックされているようです。ebayに通報しました。

何回か出鱈目でログインしたのですが下のエラーになります。

IDとパスワードを詐取するのが目的のようです。

— posted by staff @ 07:42AM | TrackBack (0) | top↑

May 29, 2006

● www.global-nuclear.org のチェーンメール

ttp://www.global-nuclear.org/ のサイトを宣伝するチェーンメールがまた多数発生しています。今回は英文になりましたが差出人は日本人のメールアドレスです。

これが今回のサンプルでトラップアドレスに届いています。

メールアドレスは絶対登録しないようにしましょう

通報がありました。その方の連絡では「ホームページにアクセスしたところウィルスバスターがEXPL_TXTRANGE.Aを検知した」とのことです。このウイルスはいわゆるゼロデイ攻撃のウイルスでアップデートの済んでいないIEだとすぐに感染してしまうので注意。

スタッフが再度アクセスし空欄のままボタンを押してもみたのですがIEをアップデートしてあるせいか何も起こりませんでした。ファイルとして保存しウイルスチェックをしても発見されませんでした。これに関して別の結果が出た方の詳細な情報をお待ちしています。アクセスする場合にはウイルスパターンを最新版にするなど十分な注意をしてください。危険ですからセキュリティの備えや知識の無い方は面白半分でアクセスしないように。ウイルスに感染しますよ。

● chase.comの偽サイト ttp://www.chaseonlinebanking.us/colappmgr/colportal/prospect.php?_nfpb=change_form

ClamAVでHTML.Phishing.Bank-485と検知されています。

www.chaseonlinebanking.usのアドレスは203.244.164.150で韓国、逆引きが珍しくありbi.daegu.ac.krです。韓国の大学がクラックされています。

サーバーの応答Apache/1.3.31 (Unix) PHP/4.3.7です。cyota.comに通報しました。

出鱈目のIDを入れると一旦エラーになります。

エラーとびっくりさせます。また出鱈目を入れると次に進みます。

カード番号を含む個人情報詐取画面。（上部）

（下部）

● paypal.comの偽サイト ttp://info-webscrs.com/usa/paypal/cgi-bin/webscr/login.php

下にある説明の
ttp://restore-login.com/usa/paypal/cgi-bin/webscr/login.php
と同じです。同じ詐欺サイトに対して複数のドメインを使っています。

ドメインinfo-webscrs.comは5月26日に取得され1年の期限です。取得日も同じです。

● ebay.comの偽サイト ttp://get-me.to/ebayupdates2006

get-me.toは無料レンタルサーバーです。犯人が加入したものと思われます。サイトはアメリカにあります。

ebay.comに通報しました。

カード番号詐取画面です。真似をしてガキが立ち上げたようなサイトでトップのところにバナー広告が出ます。
（上部）

（下部）

● paypal.comの偽サイト ttp://restore-login.com/usa/paypal/cgi-bin/webscr/login.php

アドレスは217.76.132.43でスペイン、逆引きはflgb662.serveursdns.net、サーバーの応答はApacheです。

ドメインrestore-login.comドメインはこの詐欺の為に取得されたもので5月26日の取得で1年の期限です。

paypal.comに通報しました。

出鱈目をいれても下のようにエラーになります。

この時点でIDとパスワードが盗まれています。

● ebay.comの偽サイト ttp://203.246.104.161/.../signin.ebay.com/eBayISAPI.dllSignIn/co_partnerId/=2pUserId=&siteid=0&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=&pp=&ruparams=&ruproduct=&sid=&favoritenav=&migrateVisitor=/eBayISAPI.dll2SignIn8co_partnerId.php

アドレス203.246.104.161は韓国、逆引きは無し、サーバーの応答はApache/1.3.27 (Unix) PHP/4.2.3です。

トップページはApacheのデフォルトページですがディレクトリがドットから始まっていることからクラックされている可能性があります。

ebay.comに通報しました。

出鱈目をいれても下のようにエラーになります。

エラー画面。この時点でIDとパスワードが盗まれています。

時間稼ぎなのか通信文を送るページ。

このあとクリックすると本物にサイトに飛びます。

● citibank.comの偽サイト ttp://18thcenturymerchant.com/uploads/https/www.accountonline.com/AccountVerify.php

アドレスは66.160.166.111で逆引きは同じ、サーバーの応答は以下：
Apache/2.0.54 (Unix) mod_perl/1.99_09 Perl/v5.8.0 mod_ssl/2.0.54 OpenSSL/0.9.7d DAV/2 FrontPage/5.0.2.2635 PHP/4.4.0 mod_gzip/2.0.26.1a

トップページを見ると販売のサイトなのでクラックされていると判断できます。

cyota.comに通報しました。

いきなりカード番号詐取画面です。

● paypal.comの偽サイト ttp://216-166-230-90.clec.commercial.madisonriver.net:81/update/

ClamAVでHTML.Phishing.Pay-34と検知されています。

調査した時点で接続が拒絶されます。
ポート80の応答はMicrosoftOfficeWebServer: 5.0_Pubです。ttp://10.0.0.2/Default.htmのローカルアドレスに転送されるようになっているので犯人が立ち上げている可能性もあります。

● paypal.comの偽サイト ttp://211.108.64.208/%20/www.paypal.com/update/cgi-bin/webscrcmd_login.php

ClamAVでHTML.Phishing.Pay-130と検知されています。

アドレス211.108.64.208は韓国、逆引きは無し、サーバーの応答はApache/1.3.34 (Unix) PHP/4.3.4。

出鱈目のIDでログインできます。

認証しているふりの画面。

カード番号詐取画面です。

● ebay.comの偽サイト ttp://acc144-yy7.info/https/ISAPIebay/login.htm

acc144-yy7.infoのアドレスは以下のように複数あります。全部ADSL/CATV回線上にあります。ゾンビPCによるフィッシングです。

24.13.8.149 == c-24-13-8-149.hsd1.il.comcast.net
24.116.180.109 == 24-116-180-109.cpe.cableone.net
64.53.175.197 == d53-64-197-175.nap.wideopenwest.com
68.59.54.95 == c-68-59-54-95.hsd1.fl.comcast.net
69.246.222.244 == c-69-246-222-244.hsd1.in.comcast.net

サーバーの応答は以下で全部同じです。OSは全部がWindowsです。
Server: Apache
X-Powered-By: PHP/5.1.2
Location: about:blank

DNSとして以下が登録されています。今回はゾンビPCでは無いようです。OSはどちらもFreeBSDが使われているようです。
NS1.VIP-ACC.COM == 208.65.60.104 == 逆引き無し、カナダ
NS2.VIP-ACC.COM == 66.199.241.34 == x-stacja.net

このDNSに使われているドメインVIP-ACC.COMは5月14日に取得され1年の期限なのでこれも詐欺に関係しているものと思われます。

出鱈目のIDでログインできます。

カード番号詐取画面です。

● ebay.comの偽サイト ttp://msl.tc.hgiga.com/.signin.ebay.com/eBayISAPI.dllSignIn/co_partnerId/=2pUserId=&siteid=0&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=&pp=&ruparams=&ruproduct=&sid=&favoritenav=&migrateVisitor=/eBayISAPI.dll2SignIn8co_partnerId.php

msl.tc.hgiga.comアドレスはすでにDNS上で消えています。ドメインhgiga.comは1999年に取得されているのでクラックされていたようです。www.hgiga.comは台湾のセキィリティ関連の会社でした。

● paypal.comの偽サイト ttp://www.lagrandeecole.com/accueil/menu_droite/modele/updates-paypal/

ClamAVでHTML.Phishing.Pay-51と検知されています。

www.lagrandeecole.comのアドレスは213.186.45.163でフランス、逆引きはns2405.ovh.net、サーバーの応答は以下：
Apache/1.3.34 (Unix) mod_gzip/1.3.19.1a PHP/4.4.2 mod_ssl/2.8.25 OpenSSL/0.9.6m

タイトルのURLのつなぐとこの画面が出た上でもう１つ画面一杯の窓が開きます。（下の画面）

アドレスバーが偽装されています。この画面から出鱈目のIDでログインできます。

認証しているふりをした画面が瞬間だけ表示されます。

カード番号詐取画面です。

● paypal.comの偽サイト ttp://163.30.58.13/c.html

ClamAVでHTML.Phishing.Bank-28と検知されています。

ここにアクセスすると ttp://www.paypal.com.h0m.us/webscr.php?cmd=LogIn に飛ばされます。

163.30.58.13の情報：
　国は台湾
　逆引きは無し
　サーバーの応答はMicrosoft-IIS/6.0

www.paypal.com.h0m.usの情報：
　アドレスは多数あり、yahoo.comのビジネスサービスを使って犯人が立ち上げているものと思われます。
　ドメインh0m.usは詐欺のために取得されたもので5月28日取得で1年の期限。

出鱈目のIDだと下のようにエラーとなります。

この時点でIDとパスワードが詐取されています。

— posted by staff @ 07:45AM | TrackBack (0) | top↑

May 28, 2006

● www.global-nuclear.org のチェーンメール

ttp://www.global-nuclear.org/ のサイトを宣伝するチェーンメールがまた多数発生しています。今回は英文になりましたが差出人は日本人のメールアドレスです。

これがその例、トラップアドレスに到着しています。

メールアドレスは絶対登録しないようにしましょう

● co-operativebank.co.ukの偽サイト ttp://welcome7.cooperative-banking.com/CBIBSWeb/start.do

すでにelcome7.cooperative-banking.comのアドレスはDNS上から消えています。

ドメインcooperative-banking.comは5月25日に取得され1年の期限で詐欺のために取得されたものです。

● paypal.comの偽サイト ttp://ad.doubleclick.net/clk;32932974;11466062;i?ttp://www.paypal.com.anelpay.com/webscr.php?cmd=_login-run

doubleclick.netのリダイレクタを無断で使って
ttp://www.paypal.com.anelpay.com/webscr.php?cmd=_login-run
に飛ばされます。

www.paypal.com.anelpay.comはyahoo.comのビジネスサービスを使ってたちあがっています。犯人自身が加入したものと考えられます。

ドメインcooperative-banking.comは5月27日に取得され1年の期限で詐欺のために取得されたものです。paypalに通報しました。

何回かやったのですが下のようにエラーになります。

この時点でIDとパスワードが詐取されています、

● amazon.comの偽サイト ttp://www.amazon.com.ca34.us/exec/panama/ib/login/104-0996183-0754328/index.html

www.amazon.com.ca34.usのアドレスは多数あります。yahoo.comのレンタルサーバーを使っているため。

ドメインca34.usはこの詐欺の為にyahoo.comを経由して取得されたものと考えられます。取得日は5月26日、期限は1年です。

でたらめのIDでログインできます。

カード番号詐取画面です。

— posted by staff @ 10:00AM | TrackBack (0) | top↑

May 27, 2006

● visa.comの偽サイト ttp://adsl-70-245-219-201.dsl.snantx.swbell.net:84/page/visa.html

サイトはアメリカにあります。SMTPの応答はinterzinum01.interzinum.comですがこのドメインが登録されていないためクラックされたのかどうか不明です。

ポート80はUnder Construction、応答はMicrosoft-IIS/5.0
ポート84の応答はApache/1.3.23 (Win32)

cyota.comに通報しました。

カード番号詐取画面です。

● ebay.comの偽サイト ttp://www.withnet01.com/ws/.ebay/SingIneBay.html?/ws/eBayISAPI.dllSignIn&co_partnerId=2&pUserId=&siteid=0&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=http://www.ebay.com&pp=&pa2=&errmsg=&runame=&ruparams=&ruproduct=&sid=&favoritenav=&migrateVisitor=

また昨晩と同じ
ttp://cgi.business.allstream.net/cgi-bin/nbcmailform
を使ってbraila2007@yahoo.comに送られるようになっていますが、このCGIのサーバー自体がダウンしているので実行されません。

www.withnet01.comのアドレスは222.147.113.58で日本、逆引きはp4058-ipbffx02sasajima.aichi.ocn.ne.jp。

サーバーの応答は以下で企業のサイトがクラックされています。
Apache/1.3.20 Sun Cobalt (Unix) mod_ssl/2.8.4 OpenSSL/0.9.6b PHP/4.0.6 mod_auth_pam_external/0.1 FrontPage/4.0.4.3 mod_perl/1.25

日本の会社とebay.comに通報しました。

IDとパスワード詐取画面です。

— posted by staff @ 12:12AM | TrackBack (0) | top↑

May 26, 2006

● visa.comの偽サイト ttp://sirius.dns4ca.com:84/www.visa.com/visa.html

ポート84の応答はありますがゼロバイトのコンテンツが返ります。

sirius.dns4ca.comのアドレスは216.239.91.56、逆引きはsirius.dns4ca.comです。

ポート84応答はApache/1.3.23 (Win32)です。

ポート80はDomain Parked というメッセージでレンタルサーバーのようです。サーバーの応答はMicrosoft-IIS/6.0です。

● ebay.comの偽サイト ttp://aw-user-domain-registration-name-login-verify-your-identity.4t.com/main.html

長ったらしいホスト名aw-user-domain-registration-name-login-verify-your-identity.4t.comのアドレスは64.136.24.165でアメリカです。reeservers.comという無料のレンタルサーバー上に立ち上げています。サブドメイン名から考えて犯人自身が加入したものでしょう。

逆引きはpublic-24-165.lax.ws.untd.com、サーバーの応答は.V11 Apache/1.3.26 (Unix) mod_fs 6.005です。

これも下と同じ
ttp://cgi.business.allstream.net/cgi-bin/nbcmailform
を使ってaw_ebay_second_chance_offer@yahoo.co.ukに送られるようになっていますが、このCGIのサーバー自体がダウンしているので実行されません。

ebay.comに通報しました。

IDとパスワード詐取画面です。

● ebay.comの偽サイト ttp://66.11.172.40/SignIn.html

アドレス66.11.172.40はカナダ、逆引きはroybern.ott.istop.com、サーバーの応答は以下です。
Apache/2.0.53 (Unix) PHP/4.3.10 mod_perl/2.0.1 Perl/v5.8.0

トップページはゲームのサイトのようなのでクラックされていると判断できます。

ソースを見ると詐取したIDとパスワードはセキィリティホールのあるフォーム
ttp://cgi.business.allstream.net/cgi-bin/nbcmailform
を使って xusere2006＠yahoo.com に送られます。

ebay.comとistop.comに通報しました。

IDとパスワード詐取画面です。ボタンを押すと本物のサイトに飛ばされます。