cNotes 検索 一覧 カテゴリ

画像スパム、PDFスパム、、、

Published: 2007/10/01

 定番化した感のある画像スパムであるが、ボットを踏み台にして送信されているスパムの状況を見てみる。

 多いときには80%程度が画像スパムであったが、ここでのデータは送信側を観測しているので画像をまったく使わないスパマーにボットが占有されている時間帯によっては限りなく0%な場合もある。

 gifよりもjpgが多い時期もあったが、この時期にはHoneyPotで補足しているスパマーの一部が大規模にjpgばかり送信していたことや、拡張子が「jpg」になっているマルウェアを添付しているメール送信するときに、同時に送られるダミーのスパム?(同一送信者で同一文面だが添付ファイルは普通の画像なのでダミーか?)にjpg画像を添付しているものが含まれていた影響。凝ったことをやっている?

 また、巷の情報どおり7月ごろからpdfは観測されていて8月末に増加したあとは落ち着いた感じ。その文面は、

  • 薬物や高級ブランド品の宣伝が70%(ほとんどが中国にあるサーバーに誘導される)
  • 株価操作が30%(本気の株価操作ではないものも多く混ざるようになっている?)

のような感じだ。

またPDFファイルの情報を見ると以下のような「Creator」「Producer」情報をもつものが多いが、

 Title:          Document
 Author:         Services
 Creator:        PScript5.dll Version 5.2.2
 Producer:       GPL Ghostscript 8.15
 CreationDate:   Fri Aug 24 19:55:23 2007
 ModDate:        Fri Aug 24 19:55:23 2007
 Tagged:         no
 Pages:          1
 Encrypted:      no
 Page size:      612 x 792 pts (letter)
 File size:      19422 bytes
 Optimized:      no
 PDF version:    1.4
 

いわゆる「株価操作系?」のPDFファイルはスパムフィルタにテキスト抽出されることを妨害するためかEncryptedされているものが増えてきている。

 
 Title:          Traders Watch List
 Producer:       Acrobat Web Capture 7.0
 CreationDate:   Tue Aug 28 17:39:55 2007
 ModDate:        Tue Aug 28 17:46:35 2007
 Tagged:         yes
 Pages:          1
 Encrypted:      yes (print:no copy:no change:no addNotes:no)
 Page size:      612 x 792 pts (letter)
 File size:      9030 bytes
 Optimized:      yes
 PDF version:    1.6

 また、ここで観測されているPDFスパムは一度に大量送信されておらず、同一の送信者でも数十〜数百通に1通の割合で混入して送信されているようだ。複数のボットを踏み台にしているであろうから結果的には大量送信になるわけだが、何らかの意図で(目立たないようにするため?)スパマーの利用している送信ツールにも工夫が凝らされているのかもしれない。

[カテゴリ:spam観察日記]

by jyake