cNotes 検索 一覧 カテゴリ

最近のpharmacy系スパム

Published: 2009/08/16

あいかわらず多い、こんなページにアクセスさせる「Canadian Pharmacy」系のスパムですが、

7月からジャンプさせるためのURLのパターンが変わってます。

.cn系のドメインですが、ホスト部が16進数的なバリエーションで変わります。

うちの環境だけでも一日あたりドメインは100種類程度、サブドメインの違いまで含めると10000種類程度が観測されます。

実際これらはリダイレクタでしかなく、本体はここ。

STOCKPHARMTHERE.COM

   Domain Name: STOCKPHARMTHERE.COM
   Registrar: ANO REGIONAL NETWORK INFORMATION CENTER DBA RU
   Whois Server: whois.nic.ru
   Referral URL: http://www.nic.ru
   Name Server: NS1.STOCKPHARMTHERE.COM
   Name Server: NS2.STOCKPHARMTHERE.COM
   Status: clientTransferProhibited
   Updated Date: 10-aug-2009
   Creation Date: 10-aug-2009
   Expiration Date: 10-aug-2010

59.53.88.132

 
 inetnum:      59.52.0.0 - 59.55.255.255
 netname:      CHINANET-JX
 descr:        CHINANET Jiangxi province network
 descr:        China Telecom
 descr:        No.31,jingrong street
 descr:        Beijing 100032
 country:      CN

ドメインの使い方の特徴は

  • 中国、ロシアのレジストラ
  • 同じドメインがスパム文中のURLに使用されるのは24時間だけ
  • スパム文中のドメイン自体が実際には作成されないものが3割以上ある
  • 本体サイトは中国かロシア
  • リダイレクタ、本体サイトともにfast-fluxなことが多い。(今回はちがう)
  • なぜか、ほとんどのブラックリストに載らない?(spamhousに載ることはある)

RBNの特徴ですかね?

一番気になるのは最後の点ですかね。

前述の特徴からもわかるようにバリエーションの多さ、変化の速さ、無意味なドメインの多さなどからブラックリスト対応としてはあまり真剣にとりあわないってことでしょうかね?ヒューリスティックなスパムフィルタにまかせるってことですかね?それともかなり時間がたってから登録されるのでしょうか。。

参考に昨日観測されたドメイン。

 dsuvatas.cn
 fdimutev.cn
 jxokamuz.cn
 lqitucab.cn
 qbalegux.cn
 rqibitir.cn
 profamin.cn
 jmarogex.cn
 jjidivay.cn
 sxuwujec.cn
 rmizatac.cn
 ddadicol.cn
 cduyapic.cn
 xrolicah.cn
 rbejonon.cn
 kmoladac.cn
 hhuyoqoy.cn
 tkekojad.cn
 hfecozof.cn
 zsofohux.cn
 jfevikas.cn
 wbixakiy.cn
 knafefij.cn
 tfekinak.cn
 gkecegoc.cn
 wteheyiz.cn
 vvifuvok.cn
 hyemilos.cn
 jzexetay.cn
 wneqeqal.cn
 xcituded.cn
 qzujedim.cn
 wpijuset.cn
 xjosiyir.cn
 vsubicaw.cn
 vvoqarip.cn
 nloqemoq.cn
 pbixirub.cn
 thufahuq.cn
 llojewar.cn
 btutoqok.cn
 knivabij.cn
 wmasiyib.cn
 jlipimuq.cn
 qzeqitag.cn
 nsumipam.cn
 dzeqokid.cn
 jbeqowov.cn
 jniramom.cn
 djumulig.cn
 zzutufuw.cn
 qlirocol.cn
 nmamowug.cn
 ftapesit.cn
 mciqupaw.cn
 gpagezuk.cn
 ghidenor.cn
 hdowucec.cn
 pvevunaz.cn
 hpekabop.cn
 mcamiqah.cn
 ryemunah.cn
 pnepimit.cn
 wqelijis.cn
 rrutozow.cn
 ryegawaf.cn
 fwoxiref.cn
 pgoriwop.cn
 dwuxiban.cn
 Domain Name: fwoxiref.cn
 ROID: 20090813s10001s32488751-cn
 Domain Status: clientDeleteProhibited
 Domain Status: clientTransferProhibited
 Administrative Email: euajgnswh@126.com
 Name Server:ns1.throwjust.com
 Name Server:ns3.valuedflower.com
 Name Server:ns5.0fd.ru
 Name Server:ns4.valuedflower.com
 Name Server:ns2.throwjust.com
 Name Server:ns6.0fd.ru
 Registration Date: 2009-08-13 12:33
 Expiration Date: 2010-08-13 12:33
 ;; ANSWER SECTION:
 fwoxiref.cn.            3600    IN      A       218.75.144.6
 fwoxiref.cn.            3600    IN      A       220.196.59.35
 fwoxiref.cn.            3600    IN      A       91.213.33.10
 fwoxiref.cn.            3600    IN      A       203.93.208.86
 
 ;; AUTHORITY SECTION:
 fwoxiref.cn.            21600   IN      NS      ns4.valuedflower.com.
 fwoxiref.cn.            21600   IN      NS      ns3.valuedflower.com.
 fwoxiref.cn.            21600   IN      NS      ns1.throwjust.com.
 fwoxiref.cn.            21600   IN      NS      ns2.throwjust.com.
 fwoxiref.cn.            21600   IN      NS      ns6.0fd.ru.
 fwoxiref.cn.            21600   IN      NS      ns5.0fd.ru.
 
 ;; ADDITIONAL SECTION:
 ns2.throwjust.com.      172800  IN      A       218.75.144.6
 ns1.throwjust.com.      172800  IN      A       222.186.12.113
 ns5.0fd.ru.             3600    IN      A       218.75.144.6
 ns5.0fd.ru.             3600    IN      A       220.196.59.35
 ns5.0fd.ru.             3600    IN      A       91.213.33.10
 ns5.0fd.ru.             3600    IN      A       203.93.208.86

[カテゴリ:spam観察日記]

by jyake