ドメイン名のメンテナンス通知装う「WHOISスパム」に注意

ドメインのホスティング業者から送信されたように見せかけて、悪質なPHPを実行させようとするスパムが報告された。

[ITmedia]

　WHOISに登録されたドメイン名登録者に宛てて、セキュリティメンテナンスを装った悪質コードをばらまくスパムメールが送信されていると、SANS Internet Storm Centerが2月19日、サイトで報告した。

　問題のメールは、ドメインをホスティングしているプロバイダーから送信されたように見せかけて、添付のPHPファイル「webguard.php」を実行するよう仕向けている。

　また、米連邦預金保険会社（FDIC）からのメールを装い、Webサイトのセキュリティ強化のためと称して「vprotect.php」の実行を促すものなど、同様の攻撃が複数報告されている。

　このPHPスクリプトを分析したところ、システムの重要な設定情報や電子メール情報を盗んだり、Perl IRCボットに感染させるといった機能があることが分かったという。

　攻撃では複数のドメインが標的となっているが、現時点で広範な拡散はしていない模様だとSANSは報告している。