cNotes 検索 一覧 カテゴリ

新Canadian Pharmacy?

Published: 2010/12/29

9月のZeuS取り締まりで見かけなくなって久しいCanadian Pharmacyですが、3ヶ月ぶりに届きました。。。

あれ?新しい先生?

トリガーメールはいつものやつです。

誘導URLはこれも懐かしい感じ。

 .ru:8080

具体的にはこのような感じ。

url
parssfhg.ru:8080
dfnnhvfvn.ru:8080
sagdtrbgh.ru:8080
osfhgef.ru:8080
dkfbuyvgg.ru:8080
sankfhbeg.ru:8080
dbgvobbej.ru:8080
dsk3uurug.ru:8080

27日から観測され続けいています。


 ;; QUESTION SECTION:
 ;osfhgef.ru.                    IN      A
 
 ;; ANSWER SECTION:
 osfhgef.ru.             3598    IN      A       60.190.222.134
 
 ;; AUTHORITY SECTION:
 osfhgef.ru.             3560    IN      NS      twiopia.ru.
 osfhgef.ru.             3560    IN      NS      twicube.ru.
 
 ;; ADDITIONAL SECTION:
 twiopia.ru.             3561    IN      A       60.190.222.134
 twicube.ru.             3578    IN      A       60.190.222.134
 ;; QUESTION SECTION:
 ;osfhgef.ru.                    IN      A
 
 ;; ANSWER SECTION:
 osfhgef.ru.             3528    IN      A       60.190.217.145 
 
 ;; AUTHORITY SECTION:
 osfhgef.ru.             3525    IN      NS      twicube.ru.
 osfhgef.ru.             3525    IN      NS      twiopia.ru.
 
 ;; ADDITIONAL SECTION:
 twicube.ru.             54      IN      A       60.190.217.145
 twiopia.ru.             54      IN      A       60.190.217.145

ん?応答されるアドレスとNSのアドレスが同じ。そのパターンが二種類(NSの情報をみると三種類あるはず?)

 domain:     TWIOPIA.RU
 nserver:    ns1.twiopia.ru. 60.190.222.134
 nserver:    ns2.twiopia.ru. 60.190.217.145
 nserver:    ns3.twiopia.ru. 222.87.146.142
 state:      REGISTERED, DELEGATED, UNVERIFIED
 person:     Private Person
 registrar:  REGRU-REG-RIPN
 created:    2010.12.11
 paid-till:  2011.12.11
 source:     TCI
 domain:     TWICUBE.RU
 nserver:    ns1.twicube.ru. 60.190.217.145
 nserver:    ns2.twicube.ru. 60.190.222.134
 nserver:    ns3.twicube.ru. 222.87.146.142
 state:      REGISTERED, DELEGATED, UNVERIFIED
 person:     Private Person
 registrar:  REGRU-REG-RIPN
 created:    2010.12.11
 paid-till:  2011.12.11
 source:     TCI
 domain:     PARSSFHG.RU
 nserver:    twicube.ru.
 nserver:    twiopia.ru.
 state:      REGISTERED, DELEGATED, UNVERIFIED
 person:     Private Person
 registrar:  REGRU-REG-RIPN
 created:    2010.12.25
 paid-till:  2011.12.25
 source:     TCI
 
 60.190.222.134
 
 inetnum:      60.190.222.128 - 60.190.222.255
 netname:      NINBO-LANZHONG-LTD
 country:      CN
 descr:        Ninbo Lanzhong Network Ltd
 222.87.146.142
 
 inetnum:      222.85.128.0 - 222.87.255.255
 netname:      CHINANET-GZ
 descr:        CHINANET Guizhou province network
 descr:        Data Communication Division
 descr:        China Telecom
 country:      CN

全部CNです。

[カテゴリ:spam観察日記]

by jyake