malware_mailの日記

個人メールアドレスに届いたマルウェアメールを記録

◎9/27

参考にバグありメール

ヘッダーに空白行が入ってしまって、本文扱いされている。

また変数の一部が展開されていない。

 

件名:(なし)

意図していたのは、

subject: =?iso-2022-jp?b?gyrcivobkejovfqtwcbtdg9yzrskqifbpizjskgvqxcktiqqq04kasq7gyhc?=

 From:tsuhan@nttxstore.jp (を偽装)

意図していたのは、

tsuhan@nttxstore.jp <tsuhan@nttxstore.jp> 

 本文:

最初の空白行が無ければ、Receivedも偽装(しようとして変数未展開)?

 

{{receivedtsuhan}}
to: {{mail_to}}
from: tsuhan@nttxstore.jp <tsuhan@nttxstore.jp>
subject: =?iso-2022-jp?b?gyrcivobkejovfqtwcbtdg9yzrskqifbpizjskgvqxcktiqqq04kasq7gyhc?= message-id: <0e035529-70e2-9fe2-0a30-4ddac12909da@nttxstore.jp>
date: {{date}} user-agent: mozilla/5.0 (windows nt 6.1; wow64; rv:45.0) gecko/20100101 thunderbird/45.2.0 mime-version: 1.0 content-type: text/html; charset="utf-8" content-transfer-encoding: quoted-printable content-disposition: inline <!doctype html public "-//w3c//dtd html 4.01 transitional//en" "ttp://ww= w.=3Dw3.org/tr/html4/loose.dtd"> <html> <body> <p>&#27880;&#25991;&#30058;&#21495;x170516-{{digit}}-0</p>

 で始まる。URLリンクでzipファイルを指しているが403

https://www.virustotal.com/#/url/bf73958962e65634911fcdabe5244e8e61d6b4df4fd82e0a4484b540ef434f64/detection