cNotes 検索 一覧 カテゴリ

Canadian Pharmacy botnetのバリエーション

Published: 2009/02/27

Canadian Parmacy botnetともよばれるスパム送信+広告システムです。常時関連する大量のスパムが観測され続けている巨大なスパムシステムの一つで、送信手法はたくさんのバリエーションがありますが、1/20ごろから大量に観測され続けているパターンの一つです。

このような文面のメールが届き

どこをクリックしてもこのサイトに飛びます。

やってることに変化はないんですが使われているドメインが頻繁に変化し、20日間で561種類目になります。スパム対策用のブラックリストはかなり追いついけていないようです。

 droptenacious.com
 excitelucid.com
 rockaffectionate.com
 protectivealso.com
 circleseparate.com
 cityinnocent.com
 awardzeal.com
 witwhen.com
 attractionnice.com
 typesky.com
 batprogress.com
 toldspectacular.com
 spicyfaithful.com
 compassionyard.com
 plusopulent.com
 clotheingenuity.com
 enthusiasticgrow.com
 :
 :
 :

ドメインが変わっても使われているIPアドレスは、常にこの3つ。

 60.191.221.126
 58.20.140.5
 220.248.186.101

ドメインもIPも全部、中国です。

   Domain Name: MUNCHYBREAK.COM
   Registrar: XIN NET TECHNOLOGY CORPORATION
   Whois Server: whois.paycenter.com.cn
   Referral URL: http://www.xinnet.com
   Name Server: UP1.REALIZATIONROSY.COM
   Name Server: UP2.REALIZATIONROSY.COM
   Name Server: UP3.REALIZATIONROSY.COM
   Name Server: UP4.REALIZATIONROSY.COM
   Status: ok
   Updated Date: 17-feb-2009
   Creation Date: 12-feb-2009
   Expiration Date: 12-feb-2010
 inetnum:      58.20.128.0 - 58.20.159.255
 netname:      yueyangcnc
 country:      CN
 descr:        CNC Group HuNan YueYang network
 descr:        SanHui building ,WuLiPai Street,
 descr:        YueYang 411104
 admin-c:      CH444-AP
 tech-c:       CH444-AP
 status:       ASSIGNED NON-PORTABLE
 changed:      zoulei@chinaunicom.cn 20090104
 mnt-by:       MAINT-CNCGROUP-HN
 source:       APNIC
 inetnum:      60.191.221.0 - 60.191.221.255
 netname:      JINHUA-TELECOM-LTD
 country:      CN
 descr:        Jinhua Telecom Co.,ltd IDC Center
 descr:
 admin-c:      LW1143-AP
 tech-c:       CJ54-AP
 status:       ASSIGNED NON-PORTABLE
 changed:      auto-dbm@dcb.hz.zj.cn 20070618
 mnt-by:       MAINT-CN-CHINANET-ZJ-JH
 source:       APNIC
 inetnum:      220.248.160.0 - 220.248.191.255
 netname:      CNCGROUP-HN
 country:      CN
 descr:        Hunan provincial network of China Netcom
 admin-c:      CH455-AP
 tech-c:       CH455-AP
 status:       ALLOCATED NON-PORTABLE
 changed:      cncipaddr@china-netcom.com 20040112
 mnt-by:       MAINT-CNCGROUP
 mnt-lower:    MAINT-CNCGROUP-HN
 source:       APNIC

[カテゴリ:spam観察日記]

by jyake