Michael Jackson’s Death Sparks Off Spam | SophosLabs blog(情報元のブックマーク数)
既に迷惑メールとして出ているそうです。合唱。
The death of the “King of Pop”, Michael Jackson, spread great shock through the entire world.
Michael Jackson’s Death Sparks Off Spam – Naked Security
Just after about 8 hours of his demise, SophosLabs witnessed the first wave of spam messages employing the sad news in the subject line and body part to harvest victims’ email addresses.
In this kind of spam message, the spammer claims she/he has vital information about the death of Michael Jackson to share with somebody, ie you.
The body of spam message does not contains any call-to-action link such as url, email, or phone number. And the from email address of the message is bogus.
既に警告を出していたのか。
セキュリティ企業や組織は2009年6月25日(米国時間)、世界的な有名人であるマイケル・ジャクソン氏とファラ・フォーセット氏が相次いで亡くなったことを受け、彼らの訃報を伝えるニュースなどに見せかけたウイルスメールが出回る可能性が高いとして注意を呼びかけた。
マイケル・ジャクソン氏の訃報を伝えるウイルスメールが出現する恐れ | 日経 xTECH(クロステック)
URLが書いていないものもあるそうです
SophosLabsの公式ブログによれば、マイケル・ジャクソンの死亡から8時間後には、「マイケルジャクソンの死に関する重大な情報」と称したスパムメールが確認されたという。メールにはURLなどは記載されていないが、詳細な情報を知りたい場合には返信するよう求めており、メールアドレスを収集することが目的と見られる。
マイケル・ジャクソンの死去を題材にしたスパムが早くも出回る -INTERNET Watch Watch
SCRでEXEがDROPされるみたいです。
The spam email appears to offer a link to a YouTube video, but instead sends the recipient to a Trojan Downloader hosted on a compromised Web site. The file offered is called Michael.Jackson.videos.scr (MD5: 664cb28ef710e35dc5b7539eb633abca). This file is located on a legitimate Web site hosted in Australia belonging to a radio broadcasting station. Upon executing the file, a legitimate Web site at http://musica.uol.com.br/ultnot/2009/06/25/michael-jackson.jhtm is opened by the default browser in order to distract the user by presenting a news article for them to read.
Security Labs | Forcepoint
In the background, three further information-stealing components are downloaded and installed by the malware. One of the downloaded files is called michael.gif, which has low AV detection rates - see VT results here. The malware then installs a malicious BHO that is registered with this file %windir%\Dynamic.dll and this GUID {FCADDC14-BD46-408A-9842-CDBE1C6D37EB}. Another component is bound to startup at %windir%\system32\kproces.exe. Another malicious file installed by the malware is %windir%\system32\fotos.exe.
