地震に関連したニュースを利用するスパム
Published: 2011/03/21
3/16以降、地震に関連したニュースを利用したスパムが大量に発生しています。
同時にtwitterを騙るスパムも増えています。
地震の際にもtwitterが有効な情報伝達手段だったとかtwitter等のネットサービスを持ち上げる話もたくさんされているてますから
地震 x twitter
という人の気をひきつける要素^2を狙ってます。
subjectは内容とは関係なく以前からあるタイプのもの。
Twitter 80-845 Twittermail Twitter Faworites Why_Update Twitter through Email
など。
基本的にhtmlメールで文面はこのような感じ。
バリエーションは続々と増えています。
利用されるドメイン、URLはこのような感じ。
domain | path | |
---|---|---|
fordrezel.cz.cc | /in.php?a=QQkFBwQEAAADBgAGEkcJBQcEBAAADQANBw== | |
kagrinn.cz.cc | /in.php?a=QQkFBwQEAAADBgAGEkcJBQcEBAAADQANBw== | |
perigar.cz.cc | /in.php?a=QQkFBwQEAAADBgAGEkcJBQcEBAAADQANBw== | |
jrerfmhpljvzjv.com | /QQkFBg0MBAEDAAABEkcJBQcEBAYCAgcAAA== | |
mmfpagqxzkthlfes.org | /QQkFBg0MBAEDAAABEkcJBQcEBAYCAgcAAA== | |
mwglqklhxfnvhqrj.net | /QQkFBg0MBAEDAAABEkcJBQcEBAYCAgcAAA== |
それぞれのIPアドレスはこの二つに集約。
domain | IP address |
---|---|
fordrezel.cz.cc | 207.58.177.96 |
kagrinn.cz.cc | 207.58.177.96 |
perigar.cz.cc | 207.58.177.96 |
jrerfmhpljvzjv.com | 78.26.187.232 |
mmfpagqxzkthlfes.org | 78.26.187.232 |
mwglqklhxfnvhqrj.net | 78.26.187.232 |
ドメインの取得タイミングが3月上旬ですから、地震ネタを狙ったわけではなく、他の内容でスパムを送信していたが、地震が発生したので途中からその内容を利用したということでしょう。
Domain Name: JRERFMHPLJVZJV.COM Registrar: MONIKER ONLINE SERVICES, INC. Whois Server: whois.moniker.com Referral URL: http://www.moniker.com/whois.html Name Server: NS1.DOMAINSERVICE.COM Name Server: NS2.DOMAINSERVICE.COM Name Server: NS3.DOMAINSERVICE.COM Name Server: NS4.DOMAINSERVICE.COM Status: clientDeleteProhibited Status: clientTransferProhibited Status: clientUpdateProhibited Updated Date: 03-mar-2011 Creation Date: 03-mar-2011 Expiration Date: 03-mar-2012
Domain ID:D161671223-LROR Domain Name:MMFPAGQXZKTHLFES.ORG Created On:04-Mar-2011 04:56:46 UTC Last Updated On:04-Mar-2011 04:56:49 UTC Expiration Date:04-Mar-2012 04:56:46 UTC Sponsoring Registrar:Moniker Online Services Inc. (R145-LROR) Status:CLIENT DELETE PROHIBITED Status:CLIENT TRANSFER PROHIBITED Status:CLIENT UPDATE PROHIBITED Status:TRANSFER PROHIBITED Registrant ID:MONIKER3576249 Registrant Name:krist kpade Registrant Country:US
Domain Name: MWGLQKLHXFNVHQRJ.NET Registrar: MONIKER ONLINE SERVICES, INC. Whois Server: whois.moniker.com Referral URL: http://www.moniker.com/whois.html Name Server: NS1.DOMAINSERVICE.COM Name Server: NS2.DOMAINSERVICE.COM Name Server: NS3.DOMAINSERVICE.COM Name Server: NS4.DOMAINSERVICE.COM Status: clientDeleteProhibited Status: clientTransferProhibited Status: clientUpdateProhibited Updated Date: 03-mar-2011 Creation Date: 03-mar-2011 Expiration Date: 03-mar-2012
207.58.177.96 NetRange: 207.58.128.0 - 207.58.191.255 CIDR: 207.58.128.0/18 OriginAS: NetName: SERVINT-CIDR-3 NetHandle: NET-207-58-128-0-1 Parent: NET-207-0-0-0-0 NetType: Direct Allocation Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE RegDate: 2004-04-29 Updated: 2011-03-15 OrgName: ServInt OrgId: SRVN Country: US RegDate: 1997-04-07 Updated: 2009-08-27
78.26.187.232 inetnum: 78.26.161.0 - 78.26.191.255 netname: RENOME-SERVICE descr: Renome-Service: Joint Multimedia Cable Network country: UA admin-c: RSM-RIPE tech-c: RSM-RIPE status: ASSIGNED PA mnt-by: RENOME-MNT mnt-lower: RENOME-MNT mnt-routes: RENOME-MNT changed: unicorn@odessa.tv 20080109 source: RIPE
by jyake