(ITmedia News:http://www.itmedia.co.jp/news/articles/0808/09/news007.html)
- Internet Explorer 7.0のアップデートを偽ったスパムメール
(ウイルス解析担当者ブログ:http://blog.trendmicro.co.jp/archives/1585)
・8/11追記:トレンドマイクロからも告知が出ました。
先週末より、差出人「admin@microsoft.com」、件名「Internet Explorer 7」とするInternet Explorer 7のアップデートを偽ったスパムメールの拡散が確認されています。
リージョナルトレンドラボでは、一部日本国内にも流通していることを特定しています。
確認されたスパムメールは、HTML形式にて記載されたもの。その本文には大きく「Download the latest version!」と外部サイトのリンクが記載されており、同リンクをクリックした場合、トロイの木馬「TROJ_RENOS」ファミリがダウンロードされます。
数日前から、僕のところにもこの迷惑メールが来ていました。
(spam対策のため、メールアドレスやURLは一部伏せます)
Received: from [82.12.154.191] ([82.12.154.191])
by asm3.tnc.ne.jp ([218.219.15.245])
with ESMTP id 2008080920:35:41:257588.7357.1784 for 【僕のメールアドレス】
Sat, 09 Aug 2008 20:35:40 +0900 (JST)
Content-Return: allowed
X-Mailer: CME-V6.5.4.3; MSN
Message-Id: <200○○○543.2824.qmail@KEVBASE>
To: 【僕のメールアドレス】
Subject: Internet Explorer 7
From: admin@microsoft.com 【僕のメールアドレス】
MIME-Version: 1.0
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: 7bit
X-TERRACE-SPAMMARK: YES-bayesian (SR:-13.70) (SRN:spamrobot)-----------------
Date: Sat, 9 Aug 2008 20:35:45 +0900 (JST)
(以下HTMLメールをテキスト表示)
http://www.zs○○○ke.edu.sk/zdruzenacik/explorer-7.0.exeDownload the latest version!
About this mailing:
You are receiving this e-mail because you subscribed to MSN Featured Offers. Microsoft respects your privacy. If you do not wish to receive this MSN Featured Offers e-mail, please click the "Unsubscribe" link below. This will not unsubscribe you from e-mail communications from third-party advertisers that may appear in MSN Feature Offers. This shall not constitute an offer by MSN. MSN shall not be responsible or liable for the advertisers' content nor any of the goods or service advertised. Prices and item availability subject to change without notice.2008 Microsoft | http://www.msn.comUnsubscribe | http://www.msn.comMore Newsletters | http://www.msn.comPrivacy
- メール内URL調査結果
(aguse.jp:http://www.aguse.jp/?m=w&url=http%3A%2F%2Fwww.zssotke.edu.sk%2Fzdruzenacik%2F&retry.x=0&retry.y=0)
- メールヘッダ調査結果
・表示URLサーバはスロバキアで、ニュースの通り不正グラムがダウンロードされるようになってます。この間のCNNを騙ったspamと同じ「Antivirus XP 2008」のようですね。
・メール送信元はイギリス、こちらもブラックリスト入りしています。