Otrzymałem wiadomość, w której dziękują mi, za dokonanie rejestracji w serwisie ImageShack. W treści wiadomości znajduje się login i hasło do serwisu oraz zarejestrowany odnośnik: hxxp://www forsight com au/ gdzie bezczelnie pojawią się statyczny obrazek podlinkowany do Trojana wykrywanego przez połowę silników antywirusowych, rzekomo informujący mnie o braku zainstalowanej odpowiedniej wersji wtyczki Flash. Metoda stara ale jak widać jara. Niezłe jest to, że obrazek o braku flasha jest pobierany bezpośrednio z oficjalnej strony Coca Coli: http://www.thecoca-colacompany.com/images/noflash_singlevideo.gif. Sprytna metoda na oszczędzenie transmisji :] Oczywiście jeśli nie klikniemy w plik .exe to automatycznie zostaniemy w jego stronę po kilku sekundach przekierowani. Dodatkowo zapewne jak ostatnio dla statystyk lub atakowania użytkownika w inny sposób w tle uruchamia się odnośnik do hxxp://diamonddoctor ru:8080/index.php?pid=10
Treść wiadomości:
Date: Fri, 23 Jul 2010 06:21:44 -0800
From: ImageShack Registration <noreply@yfrog.com>
To:
Subject: Thank you for registering with ImageShack.—————————————————
Thank you for registering with ImageShack.
—————————————————Your username: fowlingz99
Your password: 67166145
Your registration link: http://www.forsight.com.au/Please read this email carefully, it contains important information about your ImageShack account.
Please do not reply to this email, this mailbox is not checked. To report problems use support section of the web site.
—————————————————
HOW DO I LOGIN?
—————————————————Click the 'Login’ button located at the top of ImageShack pages in order to login.
Type here your username and password located in this email.Once you are logged in, you will be presented with your Image Panel.
—————————————————
HOW CAN I CHANGE MY PASSWORD?
—————————————————If you want to change your password, use the following link:
http://www.forsight.com.au/
If you have forgot your password, use the following link:
http://www.forsight.com.au/—————————————————
HOMEPAGE
—————————————————Your friends can access your public images and slideshows at http://www.forsight.com.au/
—————————————————
COMMON QUESTIONS
—————————————————
Answers to common questions: http://www.forsight.com.au/Sincerely,
The ImageShack Team
Dane WHOIS dla domeny:
Domain Name: forsight com au
Last Modified: 04-Jul-2009 04:18:42 UTC
Registrar ID: NetRegistry
Registrar Name: NetRegistry
Status: okRegistrant: MAROSSZEKY, SHANDOR
Registrant ID: ABN 51251911302
Eligibility Type: Sole TraderRegistrant Contact ID: MASH1051
Registrant Contact Name: Shandor Marosszeky
Registrant Contact Email: Visit whois.ausregistry.com.au for Web based WhoIsTech Contact ID: C0573762-AR
Tech Contact Name: Dominic Main
Tech Contact Email: Visit whois.ausregistry.com.au for Web based WhoIsName Server: ns1.dreamhost.com
Name Server: ns2.dreamhost.com
Name Server: ns3.dreamhost.com
I adresy IP z ostatniej kampanii z fałszywym google i dzisiejsze. Prawda, że podobne?:
diamonddoctor ru has address 188.40.69.130
diamonddoctor ru has address 213.239.210.40
diamonddoctor ru has address 78.137.161.186
diamonddoctor ru has address 84.16.230.27
diamonddoctor ru has address 87.106.219.176skyrat ru has address 188.40.69.130
skyrat ru has address 213.239.210.40
skyrat ru has address 78.137.161.186
skyrat ru has address 84.16.230.27
skyrat ru has address 87.106.219.176
Jeden komentarz do
28 lipca, 2010 o godzinie 03:18
A mnie zastanawia, czy ludzie naprawdę jeszcze się łapią na tak kiepska próbę infekcji ?