11月のspamまとめ
Published: 2007/12/10
11月にHoneyPotで観測されたspamのまとめ。
- botをProxy Serverとして利用して送信するものがもっとも多い状況に変化はないが、その割合は60〜70%程度まで低下。botが独自に命令を取得してspam送信を行うものの割合が増えている。
- 観測される言語的には、日本語、中国語の割合が減少し、ドイツ語spamが多く観測されるようになった。
使用言語 | % |
---|---|
英語 | 60% |
ドイツ語 | 21% |
ロシア語 | 8% |
日本語 | 7% |
中国語 | 1% |
その他 | 3% |
- googlepages(google page creatorで作成できる無料のページ)をlink先とする文面のspamが大量に観測される。javascriptが仕掛けられていて別サイトに飛ばされる。徐々にバリエーションとlink先の生存率が高くなっている。
特徴 | % |
---|---|
googlepages | 32% |
株価操作 | 7% |
フィッシング | 1% |
その他 | 60% |
- フィッシングメールは2週間に一度程度大量送信が行われる。
- 株価操作系も大量に観測され続けているがPDFではなくなった。
- 日本語メールではsoftbankグループ向けのspamが大量に観測されるようになった。(主にパチンコ代打ち、打ち子系で特にサイトに仕掛けなし)
------------------------------------------
サンプル
------------------------------------------
■その1 googlepagesの利用1
- 10月末ごろから観測され始めたタイプ。
- 英語
- メールが届いた直後に本文中の誘導URLのサイトが存在する確率は50%程度。最近は確率が高くなっているが、質は低い?
- 同一文面でgooglepages.com以外のURLが利用されている場合もある。
- 接続後下記のようなjavascriptで飛ばされる先は中国のホスティングサイト。貴金属系。(malware感染等の仕掛けは不明)
------------------------------------------
■その2 googlepagesの利用2
- 11月末ごろから多く観測されているタイプ。
- 英語またはドイツ語
- メールが届いた直後に本文中の誘導URLが存在する確率は90%程度。
- 接続後javascriptにて飛ばされる先はアメリカのホスティングサイト。ソフト販売系
------------------------------------------
■その3 googlepagesの利用3
- 11月末から12月初にかけて観測され始めたタイプ。
- 英語またはドイツ語
- メールが届いた直後に本文中の誘導URLが存在する確率は90%程度。
- 下記のようなjavascriptにて別サイトに飛ばされる。(文字列部分はrandomizeしてます。そのものではないです。)
<script language=javascript>var y="Czjypw{'SDSAN\JUKLKh}hZjypw{E~pukv~5 {vsdajh {pddaalm'D'.o{{wA66~~~5hyasa5jvt.BC6zjypw{E";var d="";var j=y.length;for(i=0;i<j;i++){d+=String.fromCharCode(y.charCodeAt(i)-7);} document.write(d);</script>
飛ばされる先は、国内外のホスティングサーバーおよびPCなど20台程度で構成されるbotnet???(という報告があるが正体は不明.接続するIPによっては薬品系サイトにつながる)
■その4 paypal系のフィッシングメール
- 2週間に一度程度の頻度で定期的に大量送信が観測される。
- その他銀行系のフィッシングの文面も似た傾向。
------------------------------------------
最近観測されるspamの誘導URLによって飛ばされるサイトの構造は興味深いものが多く、当然1〜2台のサーバーで構成されているものも多くあるが、それよりも目立つものとして
- 日本語サイトの場合は、中国のホスティングサイト+日本国内のPC数台で構成
- 英語サイトの場合は、国内外のサーバーおよびPC数十台で構成
されている例が多数みられる。後者はbotnetという報告がなされている情報もあるが真偽不明。詳細はまた後日報告したい。
by jyake