最近のpharmacy系スパム
Published: 2009/08/16
あいかわらず多い、こんなページにアクセスさせる「Canadian Pharmacy」系のスパムですが、
7月からジャンプさせるためのURLのパターンが変わってます。
.cn系のドメインですが、ホスト部が16進数的なバリエーションで変わります。
うちの環境だけでも一日あたりドメインは100種類程度、サブドメインの違いまで含めると10000種類程度が観測されます。
実際これらはリダイレクタでしかなく、本体はここ。
STOCKPHARMTHERE.COM
Domain Name: STOCKPHARMTHERE.COM Registrar: ANO REGIONAL NETWORK INFORMATION CENTER DBA RU Whois Server: whois.nic.ru Referral URL: http://www.nic.ru Name Server: NS1.STOCKPHARMTHERE.COM Name Server: NS2.STOCKPHARMTHERE.COM Status: clientTransferProhibited Updated Date: 10-aug-2009 Creation Date: 10-aug-2009 Expiration Date: 10-aug-2010
59.53.88.132
inetnum: 59.52.0.0 - 59.55.255.255 netname: CHINANET-JX descr: CHINANET Jiangxi province network descr: China Telecom descr: No.31,jingrong street descr: Beijing 100032 country: CN
ドメインの使い方の特徴は
- 中国、ロシアのレジストラ
- 同じドメインがスパム文中のURLに使用されるのは24時間だけ
- スパム文中のドメイン自体が実際には作成されないものが3割以上ある
- 本体サイトは中国かロシア
- リダイレクタ、本体サイトともにfast-fluxなことが多い。(今回はちがう)
- なぜか、ほとんどのブラックリストに載らない?(spamhousに載ることはある)
RBNの特徴ですかね?
一番気になるのは最後の点ですかね。
前述の特徴からもわかるようにバリエーションの多さ、変化の速さ、無意味なドメインの多さなどからブラックリスト対応としてはあまり真剣にとりあわないってことでしょうかね?ヒューリスティックなスパムフィルタにまかせるってことですかね?それともかなり時間がたってから登録されるのでしょうか。。
参考に昨日観測されたドメイン。
dsuvatas.cn fdimutev.cn jxokamuz.cn lqitucab.cn qbalegux.cn rqibitir.cn profamin.cn jmarogex.cn jjidivay.cn sxuwujec.cn rmizatac.cn ddadicol.cn cduyapic.cn xrolicah.cn rbejonon.cn kmoladac.cn hhuyoqoy.cn tkekojad.cn hfecozof.cn zsofohux.cn jfevikas.cn wbixakiy.cn knafefij.cn tfekinak.cn gkecegoc.cn wteheyiz.cn vvifuvok.cn hyemilos.cn jzexetay.cn wneqeqal.cn xcituded.cn qzujedim.cn wpijuset.cn xjosiyir.cn vsubicaw.cn vvoqarip.cn nloqemoq.cn pbixirub.cn thufahuq.cn llojewar.cn btutoqok.cn knivabij.cn wmasiyib.cn jlipimuq.cn qzeqitag.cn nsumipam.cn dzeqokid.cn jbeqowov.cn jniramom.cn djumulig.cn zzutufuw.cn qlirocol.cn nmamowug.cn ftapesit.cn mciqupaw.cn gpagezuk.cn ghidenor.cn hdowucec.cn pvevunaz.cn hpekabop.cn mcamiqah.cn ryemunah.cn pnepimit.cn wqelijis.cn rrutozow.cn ryegawaf.cn fwoxiref.cn pgoriwop.cn dwuxiban.cn
Domain Name: fwoxiref.cn ROID: 20090813s10001s32488751-cn Domain Status: clientDeleteProhibited Domain Status: clientTransferProhibited Administrative Email: euajgnswh@126.com Name Server:ns1.throwjust.com Name Server:ns3.valuedflower.com Name Server:ns5.0fd.ru Name Server:ns4.valuedflower.com Name Server:ns2.throwjust.com Name Server:ns6.0fd.ru Registration Date: 2009-08-13 12:33 Expiration Date: 2010-08-13 12:33
;; ANSWER SECTION: fwoxiref.cn. 3600 IN A 218.75.144.6 fwoxiref.cn. 3600 IN A 220.196.59.35 fwoxiref.cn. 3600 IN A 91.213.33.10 fwoxiref.cn. 3600 IN A 203.93.208.86 ;; AUTHORITY SECTION: fwoxiref.cn. 21600 IN NS ns4.valuedflower.com. fwoxiref.cn. 21600 IN NS ns3.valuedflower.com. fwoxiref.cn. 21600 IN NS ns1.throwjust.com. fwoxiref.cn. 21600 IN NS ns2.throwjust.com. fwoxiref.cn. 21600 IN NS ns6.0fd.ru. fwoxiref.cn. 21600 IN NS ns5.0fd.ru. ;; ADDITIONAL SECTION: ns2.throwjust.com. 172800 IN A 218.75.144.6 ns1.throwjust.com. 172800 IN A 222.186.12.113 ns5.0fd.ru. 3600 IN A 218.75.144.6 ns5.0fd.ru. 3600 IN A 220.196.59.35 ns5.0fd.ru. 3600 IN A 91.213.33.10 ns5.0fd.ru. 3600 IN A 203.93.208.86
by jyake