・Phish-Potporは新種のトロイの木馬で、受信者にVISAカードのカード番号、名前、有効期限、PINナンバーなどの情報を更新するよう求める大量の電子メールを送信します。
・Phish-Potporが実行されると、LPCONFIG.EXEというファイル名で%windir%フォルダに自身をコピーします。以下のレジストリキーを作成し、システムの起動時に実行します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "ipconfig" = c:\winnt\lpconfig.exe
・電子メールの内容は以下のとおりです。
送信元: "VISA" [support@visa.com]
件名:"VISA Announcement!"
送信先:アドレスはPhish-Potporでハードコード化された名前をもとにランダムに作成されています。
電子メール本文
電子メールの例:
・注)電子メールは定義ファイル4324以降ではPhish-Potpor!emlとして検出されます。
・Phish-Potporは電子メールを送信するために、SMTPサーバのリストを含みます。
- 207.69.200.80
- 207.69.200.93
- 207.69.200.65
- 207.69.200.159
- 207.69.200.133
- 207.69.200.30
- 207.69.200.36
- 207.69.200.31
- 206.124.29.24
- 165.212.8.32
- 205.188.158.121
- 205.188.159.57
- 205.188.159.249
- 64.12.137.89
- 64.12.137.184
- 64.12.138.57
- 64.12.138.152
- 205.188.156.185
- 64.12.137.184
- 64.12.138.89
- 64.12.138.120
- 205.188.156.185
- 205.188.158.121
- 205.188.159.57
- 64.12.137.89
- 194.112.50.61
- 195.157.7.77
- 194.112.50.11
- 207.217.125.16
- 207.217.125.17
- 207.217.125.18
- 207.217.125.19
- 207.217.125.20
- 207.217.125.21
- 207.217.125.22
- 207.217.125.23
- 207.217.125.24
- 66.98.161.198
- 66.98.208.65
- 66.98.160.58
- 207.115.63.115
- 207.115.63.70
- 195.166.137.25
- 62.69.90.12
- 217.28.130.35
- 80.189.92.100
- 80.189.94.100
- 195.72.113.42
- 145.253.32.2
- 194.73.73.118
- 194.73.73.117
- 192.168.10.130
- 192.168.10.135
- 62.253.164.70
- 195.130.225.26
- 207.69.200.31
- 207.69.200.82
- 207.69.200.17
- 207.69.200.154
- 207.69.200.106
- 194.42.224.145
- 194.42.224.148
- 212.74.114.54
- 212.74.114.26
- 212.74.114.7
- 213.189.95.71
- 213.189.95.71
- 149.174.40.55
- 149.174.40.183
- 149.174.211.5
- 149.174.213.5
・電子メールの本文中にある「here」をクリックすると、DYNDNS.ORG IP アドレスの画面が表示されます。この情報掲載時点では、以下のコンテンツを入手しました。
・注)上記のコンテンツは変更される可能性があります。
