ドメインのホスティング業者から送信されたように見せかけて、悪質なPHPを実行させようとするスパムが報告された。
WHOISに登録されたドメイン名登録者に宛てて、セキュリティメンテナンスを装った悪質コードをばらまくスパムメールが送信されていると、SANS Internet Storm Centerが2月19日、サイトで報告した。
問題のメールは、ドメインをホスティングしているプロバイダーから送信されたように見せかけて、添付のPHPファイル「webguard.php」を実行するよう仕向けている。
また、米連邦預金保険会社(FDIC)からのメールを装い、Webサイトのセキュリティ強化のためと称して「vprotect.php」の実行を促すものなど、同様の攻撃が複数報告されている。
このPHPスクリプトを分析したところ、システムの重要な設定情報や電子メール情報を盗んだり、Perl IRCボットに感染させるといった機能があることが分かったという。
攻撃では複数のドメインが標的となっているが、現時点で広範な拡散はしていない模様だとSANSは報告している。
Copyright © ITmedia, Inc. All Rights Reserved.