![](https://lh5.googleusercontent.com/-Skx_xNJK3VQ/TfcFDFT1ZLI/AAAAAAAACTU/FAywBzz9Rno/s512/001.jpg)
↑正式なツイッター英語版のメールだと見えますが、中身迄に確認しましょう。
先ずはメールのヘッタにある(From:)の所を見ましょう↓
![](https://lh3.googleusercontent.com/-9Qr-gNnch3c/TfcFB5EgXdI/AAAAAAAACTM/9kUmntBAkRw/002.jpg)
↑本当にツイッターからのメールと見えますね、では、文書に書いたリンク(URL)を詳しく見ましょう↓
![](https://lh3.googleusercontent.com/-u7BIJaA9koA/TfcFDGo_UlI/AAAAAAAACTQ/kUC8KT_PtZ4/003.jpg)
↑メール文書に書いたリンク(URL)が実は他のURLに飛ばせるようになっています!
このニセURLがどのぐらいがあるかと↓
![](https://lh3.googleusercontent.com/-Ug6VB8Pw_bY/TfcGXIiPwGI/AAAAAAAACTc/2b-3l-fUrNs/s512/004.jpg)
↑6件ぐらいを発見しました。。。
では、メールに書いたURLをクリックすると下記のあやしいURLに飛ばされています
hxxp://yogi.mpe.lv/mayflower.html
↑このURLに何があると調査しましょう。まずは調査の為にアクセスしました↓
![](https://lh3.googleusercontent.com/-MGdc2MBUd78/TfcHXNyn3yI/AAAAAAAACTk/7Olb1qawa8A/005.jpg)
↑「mayflower.html」のファイルをダウンロードされています、中身にあるコードは↓
![](https://lh3.googleusercontent.com/-D_GyJsz6IVs/TfcIIva1FWI/AAAAAAAACTo/wecOWiIS5cM/006.jpg)
↑また別のURLに飛ばされていますね、今度「hxxp://pillpillspharmacy.net」ですね。調べたら下記のサイトを見えます↓
![](https://lh4.googleusercontent.com/-O7yAaXMybIg/TfcJU3MN17I/AAAAAAAACTw/ScEyieQ74CA/s500/007.jpg)
↑アダルト薬系のスパムですね。
このメールは実は何処から来ましたかと、ヘッターの詳細情報を調べたら↓
![](https://lh3.googleusercontent.com/-4-8OIz9VEJc/TfcNhH0LgaI/AAAAAAAACUA/ezLChxxmzkw/008.jpg)
↑このMXルートから本件のメールを送ってくれました、もっと調べたら↓
![](https://lh4.googleusercontent.com/-HN9GlKt2MVI/TfcNhSiHsKI/AAAAAAAACT8/qjuiXMi8jXY/s640/009.jpg)
↑こんな形でこのメールが日本迄に届いたかと思われます。
もっと確認をするとすでにSPAMブラックリストされているドメインに登録されています↓
![](https://lh5.googleusercontent.com/-vLJ5AiEbM-A/TfcNhJ1hXkI/AAAAAAAACT4/BFD1Ms0l2qU/010.jpg)
結論、似たようなニセツイッターからのスパムメールが沢山届くので、中身をクリックせずにメールをブロック又は削除して下さい。
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
0 件のコメント:
コメントを投稿