cNotes 検索 一覧 カテゴリ

地震に関連したニュースを利用するスパム

Published: 2011/03/21

3/16以降、地震に関連したニュースを利用したスパムが大量に発生しています。

同時にtwitterを騙るスパムも増えています。

地震の際にもtwitterが有効な情報伝達手段だったとかtwitter等のネットサービスを持ち上げる話もたくさんされているてますから

地震 x twitter

という人の気をひきつける要素^2を狙ってます。


subjectは内容とは関係なく以前からあるタイプのもの。

 Twitter 80-845
 Twittermail
 Twitter Faworites
 Why_Update Twitter through Email

など。

基本的にhtmlメールで文面はこのような感じ。

バリエーションは続々と増えています。

利用されるドメイン、URLはこのような感じ。

domainpath
fordrezel.cz.cc/in.php?a=QQkFBwQEAAADBgAGEkcJBQcEBAAADQANBw==
kagrinn.cz.cc/in.php?a=QQkFBwQEAAADBgAGEkcJBQcEBAAADQANBw==
perigar.cz.cc/in.php?a=QQkFBwQEAAADBgAGEkcJBQcEBAAADQANBw==
jrerfmhpljvzjv.com/QQkFBg0MBAEDAAABEkcJBQcEBAYCAgcAAA==
mmfpagqxzkthlfes.org/QQkFBg0MBAEDAAABEkcJBQcEBAYCAgcAAA==
mwglqklhxfnvhqrj.net/QQkFBg0MBAEDAAABEkcJBQcEBAYCAgcAAA==

それぞれのIPアドレスはこの二つに集約。
domainIP address
fordrezel.cz.cc207.58.177.96
kagrinn.cz.cc207.58.177.96
perigar.cz.cc207.58.177.96
jrerfmhpljvzjv.com78.26.187.232
mmfpagqxzkthlfes.org78.26.187.232
mwglqklhxfnvhqrj.net78.26.187.232

ドメインの取得タイミングが3月上旬ですから、地震ネタを狙ったわけではなく、他の内容でスパムを送信していたが、地震が発生したので途中からその内容を利用したということでしょう。


 Domain Name: JRERFMHPLJVZJV.COM
 Registrar: MONIKER ONLINE SERVICES, INC.
 Whois Server: whois.moniker.com
 Referral URL: http://www.moniker.com/whois.html
 Name Server: NS1.DOMAINSERVICE.COM
 Name Server: NS2.DOMAINSERVICE.COM
 Name Server: NS3.DOMAINSERVICE.COM
 Name Server: NS4.DOMAINSERVICE.COM
 Status: clientDeleteProhibited
   Status: clientTransferProhibited
   Status: clientUpdateProhibited
   Updated Date: 03-mar-2011
   Creation Date: 03-mar-2011
   Expiration Date: 03-mar-2012
 Domain ID:D161671223-LROR
 Domain Name:MMFPAGQXZKTHLFES.ORG
 Created On:04-Mar-2011 04:56:46 UTC
 Last Updated On:04-Mar-2011 04:56:49 UTC
 Expiration Date:04-Mar-2012 04:56:46 UTC
 Sponsoring Registrar:Moniker Online Services Inc. (R145-LROR)
 Status:CLIENT DELETE PROHIBITED
 Status:CLIENT TRANSFER PROHIBITED
 Status:CLIENT UPDATE PROHIBITED
 Status:TRANSFER PROHIBITED
 Registrant ID:MONIKER3576249
 Registrant Name:krist kpade
 Registrant Country:US
 Domain Name: MWGLQKLHXFNVHQRJ.NET
 Registrar: MONIKER ONLINE SERVICES, INC.
 Whois Server: whois.moniker.com
 Referral URL: http://www.moniker.com/whois.html
 Name Server: NS1.DOMAINSERVICE.COM
 Name Server: NS2.DOMAINSERVICE.COM
 Name Server: NS3.DOMAINSERVICE.COM
 Name Server: NS4.DOMAINSERVICE.COM
 Status: clientDeleteProhibited
 Status: clientTransferProhibited
 Status: clientUpdateProhibited
 Updated Date: 03-mar-2011
 Creation Date: 03-mar-2011
 Expiration Date: 03-mar-2012
 207.58.177.96
 
 NetRange:       207.58.128.0 - 207.58.191.255
 CIDR:           207.58.128.0/18
 OriginAS:       
 NetName:        SERVINT-CIDR-3
 NetHandle:      NET-207-58-128-0-1
 Parent:         NET-207-0-0-0-0
 NetType:        Direct Allocation
 Comment:        ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
 RegDate:        2004-04-29
 Updated:        2011-03-15
 OrgName:        ServInt
 OrgId:          SRVN
 Country:        US
 RegDate:        1997-04-07
 Updated:        2009-08-27
 78.26.187.232
 
 inetnum:        78.26.161.0 - 78.26.191.255
 netname:        RENOME-SERVICE
 descr:          Renome-Service: Joint Multimedia Cable Network
 country:        UA
 admin-c:        RSM-RIPE
 tech-c:         RSM-RIPE
 status:         ASSIGNED PA
 mnt-by:         RENOME-MNT
 mnt-lower:      RENOME-MNT
 mnt-routes:     RENOME-MNT
 changed:        unicorn@odessa.tv 20080109
 source:         RIPE

[カテゴリ:spam観察日記]

by jyake