cNotes 検索 一覧 カテゴリ

いまだにIM spam

Published: 2008/01/30

 ADSLや光アクセスが使われ始めた頃、パソコンをそのままインターネットに接続すると突然画面に「スパイウェアに感染しているので、このソフトをインストールしましょう」のようなメッセージボックスがポップアップしてくることがよくあった。

 これは、Windowsのインスタントメッセージング機能を使ったspamで、実際に感染したスパイウェアが表示させるものもあるが、大半がネットーワーク経由でばら撒かれていたspamで、そこに表示されるURLは、ただの販売サイトであったり、Malwareが仕込まれたプログラムをダウンロードさせるためのものだったりさまざまだった。当時はWindowsのインスタントメッセージング機能がデフォルトでONになっていたので良く使われていたspam手法だが、XP SP2でデフォルトOFFになったので今現在はかなり少なくなっているもののネットワーク上にはいまだに大量に流れている。

 UDP1026,UDP1027むけに送られるのが基本なので、このポート向け通信としてFirewallやIDSで検出されるが、実際のところWindowsは何番ポート(?)でもこのIMを受け付けてしまう(?)実際HoneyPotで観測されているIMも宛先ポートはバラバラです。

 送りつけられるメッセージ内のURLはこのような感じで、IM spamを止めるソフトを買えとIM spamで宣伝しているようなものが多い。

 www(.)EndMessenger(.)com
 www(.)MessengerService(.)info
 www(.)BlockMessengerSpam(.)com
 www(.)MessengerStopper(.)net
 www(.)end-ads(.)com
 www(.)viagra4less(.)com
 www(.)Herbal123(.)biz
 www(.)generic4less(.)biz
 www(.)VpRX-Oil(.)info
 www(.)BlockThesePopups(.)com
 www(.)hgh123(.)com
 www(.)regfixit(.)com
 www(.)helpfixpc(.)com
 www(.)registrycleanerxp(.)com

このspamはアメリカ、パナマ、ドイツの業者から送信されています。

 一時期にくらべてかなり減っているのは事実だが、このような業者がいまだにいるのは、spamとしての効果がいまだにあるということなのだろうか。実際には効果は低いが非常に簡易、安価に実行できるので他のspam手法のオプションで続けているだけなのだろうか。やっぱり効果があるってことなんだろう…

[カテゴリ:spam観察日記]

by jyake