いまだにIM spam
Published: 2008/01/30
ADSLや光アクセスが使われ始めた頃、パソコンをそのままインターネットに接続すると突然画面に「スパイウェアに感染しているので、このソフトをインストールしましょう」のようなメッセージボックスがポップアップしてくることがよくあった。
これは、Windowsのインスタントメッセージング機能を使ったspamで、実際に感染したスパイウェアが表示させるものもあるが、大半がネットーワーク経由でばら撒かれていたspamで、そこに表示されるURLは、ただの販売サイトであったり、Malwareが仕込まれたプログラムをダウンロードさせるためのものだったりさまざまだった。当時はWindowsのインスタントメッセージング機能がデフォルトでONになっていたので良く使われていたspam手法だが、XP SP2でデフォルトOFFになったので今現在はかなり少なくなっているもののネットワーク上にはいまだに大量に流れている。
UDP1026,UDP1027むけに送られるのが基本なので、このポート向け通信としてFirewallやIDSで検出されるが、実際のところWindowsは何番ポート(?)でもこのIMを受け付けてしまう(?)実際HoneyPotで観測されているIMも宛先ポートはバラバラです。
送りつけられるメッセージ内のURLはこのような感じで、IM spamを止めるソフトを買えとIM spamで宣伝しているようなものが多い。
www(.)EndMessenger(.)com www(.)MessengerService(.)info www(.)BlockMessengerSpam(.)com www(.)MessengerStopper(.)net www(.)end-ads(.)com www(.)viagra4less(.)com www(.)Herbal123(.)biz www(.)generic4less(.)biz www(.)VpRX-Oil(.)info www(.)BlockThesePopups(.)com www(.)hgh123(.)com www(.)regfixit(.)com www(.)helpfixpc(.)com www(.)registrycleanerxp(.)com
このspamはアメリカ、パナマ、ドイツの業者から送信されています。
一時期にくらべてかなり減っているのは事実だが、このような業者がいまだにいるのは、spamとしての効果がいまだにあるということなのだろうか。実際には効果は低いが非常に簡易、安価に実行できるので他のspam手法のオプションで続けているだけなのだろうか。やっぱり効果があるってことなんだろう…
by jyake