Proste metody są jak zawsze najskuteczniejsze. Od wczoraj otrzymuję spam, który w treści wiadomości zawiera zwyczajowe parę zdań bez zbędnych HTML i cudów oraz bezpośrednio w treści wpisany link do pliku Flash, który umieszczany jest na jednym z popularniejszych serwisów umożliwiających darmowe przechowywanie plików graficznych, filmowych, flashowych czyli imageshack.us. Spamerzy umieszczają plik Flashowy, który robi wyłącznie tyle, że kieruje automatycznie przeglądarkę na stronę sprzedającą medykamenty najpopularniejszego sklepu aptekarskiego czyli Canadian Pharmacy. Niedługo spamerzy zaczną wykorzystywać takie technologie jak np. Opera Unite do hostowania swoich plików :]
Treść spamu:
Got troubles with receiving medicaments to your house?
Our web-store is ideal for helping you! Submit your order here and get your package to your apartment the same day.
We don’t care about prescription, but we care about confidentiality of shipping and transactions
Zdezasemblowany kod flasha z użyciem narzędzia flasm wygląda mniej więcej tak:
movie 'damato.swf’ compressed // flash 8, total frames: 10, frame rate: 15 fps, 5×5 px
fileAttributes attrHasMetadata
metadata '<rdf:RDF xmlns:rdf=”http://www.w3.org/1999/02/22-rdf-syntax-ns#”><rdf:Description rdf:about=”” xmlns:dc=”http://purl.org/dc/elements/1.1/”><dc:title>xxxxxx</dc:title><dc:description>xxxxxx</dc:description></rdf:Description></rdf:RDF>’
protect '$1$9j$yh2/VmsB7iH0hkicG9.kP.’
scriptLimits recursion 256 timeout 30
frame 0
constants ”, 'onLoad’, 'website’, 'http://www_pilldirectwish_com’, 'openWebsite’, 'setTimeout’
function2 openWebsite (r:1=’url’) ()
push r:url, ”
getURL2
end // of function openWebsitepush 0.0, 'onLoad’
callFunction
pop
push 'website’, 'http://www.pilldirectwish.com’
setVariable
push 'website’
getVariable
push 1000, 'openWebsite’
getVariable
push 3, 'setTimeout’
callFunction
pop
end // of frame 0// unknown tag 88 length 216
frame 9
stop
end // of frame 9
end
I dane WHOIS dla domeny pilldirectwish_com:
Domain Name………. pilldirectwish_com
Creation Date…….. 2010-02-04 18:37:06
Registration Date…. 2010-02-04 18:37:06
Expiry Date………. 2011-02-04 18:37:06
Organisation Name…. zhao jiehai
Organisation Address. xiangyangbeilu6
Organisation Address.
Organisation Address. dalian
Organisation Address. 116026
Organisation Address. LN
Organisation Address. CNAdmin Name……….. zhao jiehai
Admin Address…….. xiangyangbeilu6
Admin Address……..
Admin Address…….. dalian
Admin Address…….. 116026
Admin Address…….. LN
Admin Address…….. CN
Admin Email………. jilaheg@126.com
Admin Phone………. +86.41188205026
Admin Fax………… +86.41188205026Tech Name………… Guo Ming Hui
Tech Address……… shen yang shi huang gu qu ling bei jie 125
Tech Address………
Tech Address……… Shenyang
Tech Address……… 042005
Tech Address……… LN
Tech Address……… CN
Tech Email……….. agent19646@agent.dns.com.cn
Tech Phone……….. +86.1081860232
Tech Fax…………. +86.1061531579
Bill Name………… Guo Ming Hui
Bill Address……… shen yang shi huang gu qu ling bei jie 125
Bill Address………
Bill Address……… Shenyang
Bill Address……… 042005
Bill Address……… LN
Bill Address……… CN
Bill Email……….. agent19646@agent.dns.com.cn
Bill Phone……….. +86.1081860232
Bill Fax…………. +86.1061531579
Name Server………. ns3.thussell.com
Name Server………. ns2.sameradio.com
Name Server………. ns4.thussell.com
Name Server………. ns1.sameradio.com