[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0043番へ]
[ 22356 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ
Date: 2006 Feb 08 14:45:50
記事No.22356/タイトル:SPAM偽装SPAM??
投稿日:2006/02/08(Wed) 14:45:50 / 投稿者:Gokuraku
★ツリー/親記事[22356]
-レス記事[22449][22509]

ID-code:3i9klsdUSss

Gokurakuです。
珍しい形というか、別のSPAM業者を装った形のSPAMらしき物が
届きましたので、ご報告します。
まずは最新分のヘッダ、本文をご覧ください。

Return-Path: <jksdhgfas@163.com>
Received: from localhost by ms36 with LMTP for <********@so-net.ne.jp>; Wed, 08 Feb 2006 05:48:04 +0900
Received: from ch04.vicp.net ([222.171.75.45])
by mx14.ms.so-net.ne.jp with ESMTP id k17Klq8L004600
for <********@SO-NET.NE.JP>; Wed, 8 Feb 2006 05:48:01 +0900 (JST)
Received: from gqsxsddop2 (unknown [25.87.112.5])
by ch04.vicp.net (Coremail) with SMTP id NuM9SQSQAkPuQmXb.1
for <********@so-net.ne.jp>; Wed, 08 Feb 2006 04:48:01 +0800 (CST)
X-Originating-IP: [25.87.112.5]
Date: Wed, 08 Feb 2006 04:48:01 +0800
From: =?shift-jis?B?eQ==?= <jksdhgfas@163.com>
To: <********@so-net.ne.jp>
Subject: =?shift-jis?B?kseJwY6WjYCBQYKzgquC2YLHgsyMj4LFgUI=?=
Mime-Version: 1.0
Content-Type: text/plain;
charset="shift-jis"
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express
X-MimeOLE: Produced By Microsoft MimeOLE
Message-ID: <2006020882836.77720@ch04.vicp.net>


お世話になります。安藤です。
さきほど書き洩れました3万円ギフトカードの
懸賞ログインの有効期限ですが、多数のため
1日間となっております。予めご理解下さい。

あらたに登録対象サイトが加わりましたで、
お知らせいたします。
 
 http://www.super-cx.com/you


 サポート担当/安藤
4:48:01

このようになっています。
一見22347,22352のツリーで取り上げられているVICP系のSPAMである
ように見えますが、以下のような点でその特徴と合致しません。
1)発信元IP
VICP系はほぼすべての発信元が”61.23*.*.*”である。おそらく範囲としては
61.232.0.0 - 61.237.255.255で、これに相当する発信元はCHINA RAILWAY
TELECOMMUNICATIONSであり、ほぼすべてがここからの発信と思われるが
このSPAMに関しては2通届いている(2/8 0:53と5:48)がいずれも発
信元は222.171.75.45と違っている。
また、VIAPCP系の発信は1通ごとにIPアドレスが変わるが、この2通は同一
のIPからの発信になっている
2)発信者名
VICP系は発信者名の表示が3〜10文字程度のアルファベット羅列+数字1
文字(例:ajtvnyrgy5やasjy1など)であったが、この2通についてはyの一文字
だけである
3)発信元サーバ名
VICP系は発信元サーバ名がdnsd0*.vicp.net(*はランダムな数字)で統一
されているが、この件はいずれもch04.vicp.netという記述になっている。
4)誘導先URL
VICP系も誘導先は多種であったが今回の誘導先は「super-cx.net」で、cx
ドメインを主に使うタクミ通信系との混同を狙っている??
といったように特に発信元情報の特徴が大きく異なっています。
しかし、ここではたと気がつきました。

「同じ発信元から同じ名前でIPアドレスの変えずに送ってくる」

これに合致するメールがありました。そうです、22267より始まる「晶子」メール
です。
参考URL
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/022267.html#22267

そこで、発信元IPを確認するとHAERBIN TELECOM(中国)になっています。
やはり「晶子」メールが現在住み込んでいるところでした。

また、1通目の文章を見ると
[以下転載]
お世話になります。ご連絡が遅れまして申し訳ございません。
先日の懸賞IDですが、有効期限が切れておりました。
当方の行き違いの不備ですので、あらためてお使いできるように
再設定いたしました。

宜しくお願いします。

 サポート担当/安藤
23:53:38
[以上転載]
と、上に上げた2通目と合わせ、ややストーリー性が伺えます。
これも「晶子」系の特徴を満たしています。
こういった情報から、私はこのメールに関しては
VICP系及びタクミ通信系を装った「晶子」系のSPAMであると判断していますが
・エンコードが従来の「晶子」系がiso-2022-jpであるのに比べ、この2通が
 Shift-JISになっている。
・ヘッダ中の宛先アドレスがすべて大文字表記である(これはVICP系の特徴)
 「晶子」系はすべて小文字
補足
私のNiftyのアドレスですが、IDそのままなので通常はAAA00000@nifty.com
が正確な表記になります。しかしVICP系はAAA00000@NIFTY.COMと書いて
きます。一方「晶子」系はaaa00000@nifty.comという表記で送ってきます。   

といったように特徴がやや異なる点もありこの判断が妥当な物か悩んでおり
ます。皆様のところには同様の物は届いておりませんでしょうか?
あれば、比較のため、本文ヘッダなどレス頂ければより正確な判断材料に
なると思いますのでよろしくお願いいたします。

また、こういう判断をしているなど、異論等もありましたらつっこみ大歓迎です。


記事No.22449/タイトル:Re: SPAM偽装SPAM??
投稿日:2006/03/13(Mon) 14:39:34 / 投稿者:Zeit
★ツリー/親記事[22356]+前記事[22356]

ID-code:mG11UlRCZEU

Zeitです。

vicp系を1文字変えた「oicp.net」という差出人ドメインのスパムが来るようになっています。
量的にはvicp.netに比べて1割以下ですが、フィルタ抜けの手法かも知れません。

ヘッダ、本文、発信元(中国)など、vicp系に似ていますが、発信元IPが違うようなので、vicp系のマネと思われます。
222.171.75.136と、上3つがGokurakuさんの出されたものと同じですので、同一スパマーかも知れません。

差出人、件名にShift-JISが使われているのもvicp系の特徴の1つですね。
今回のものをデコードしますと
差出人:havoekyhad8
件名:メッセージのお知らせ
となっていました。

海外発なので、SpamCopに出しています。

------------------------------------------------------------
Return-Path: wqs6@dnsd14.oicp.net
Date: Mon, 13 Mar 2006 03:26:39 +0800
From: =?shift-jis?B?aGF2b2VreWhhZDg=?= <wqs6@dnsd14.oicp.net>
To: <***>
Subject: =?shift-jis?B?g4GDYoNagVuDV4LMgqiSbYLngrk=?=
Received: from mxg505.nifty.com (mxg505.nifty.com [202.248.238.45])
by ums517.nifty.ne.jp with ESMTP id k2CJR9kv002182
for <***>; Mon, 13 Mar 2006 04:27:10 +0900
Received: from dnsd14.oicp.net ([222.171.75.136])by mxg505.nifty.com with ESMTP id k2CJQd5x003124
for <***>; Mon, 13 Mar 2006 04:26:43 +0900
Received: from ezjxorz5 (unknown [216.238.115.206])
by smtp27 (Coremail) with SMTP id C9441qL8K4ERuQPu.1
for <***>; Mon, 13 Mar 2006 03:26:39 +0800 (CST)
X-Originating-IP: [216.238.115.206]
Mime-Version: 1.0
Content-Type: text/plain;
charset="shift-jis"
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1478
X-MimeOLE: Produced By Microsoft MimeOLE 6.00.2800.1478
Message-ID: <2006031370550.***@dnsd14.oicp.net>

お世話になります。担当の大久保です。
無料掲示板ご相手ナビに届いております、
マキ様のメッセージをご確認下さい。

 ttp://www.ori-on.net/touch

今回ご紹介は、
即逢い・割切りコースで期限は1週間となって
おりますので予めご了承下さい。

宜しくお願い致します。


記事No.22509/タイトル:今度はvivp.net (Re: SPAM偽装SPAM??)
投稿日:2006/04/04(Tue) 16:52:00 / 投稿者:Zeit
★ツリー/親記事[22356]+前記事[22356]

ID-code:mG11UlRCZEU(本記事は投稿者自身により04/04-16:53に修正されました)

Zeitです。

vicp.netはかなりフィルタリングされてしまい効果がなくなってきたのか、それともまたマネなのか、微妙に変えたものが来ました。
今回は“vivp.net”です。

よく見ると、本文に連絡先がありません。また、発信者アドレスは返信しても届かないようで、広告として意味がなかったりします。
また、日本語の文法がおかしかったり、脱字があったりします。
# プラベートって何よ?(苦笑)

発信元は中国(おなじみhljtele.com)なのでSpamCop行き。ついでに、abuse@anti-spam.cn にも送付。

なおWebメールで見ているので、ヘッダ内Subject等のエンコードは不明です(Shift-JISかも知れません)。
------------------------------------------------------------
Return-Path: 3bj@dnsd04.vivp.net
Received: by mbox62.nifty.com id 443202b5555939;
Tue, 04 Apr 2006 14:23:01 +0900
Received: from mxg510.nifty.com by flt514.nifty.com with SMTP id 4432027153f9f7;
Tue, 4 Apr 2006 14:21:53 +0900
Received: from dnsd04.vivp.net ([222.171.79.197])by mxg510.nifty.com with ESMTP id k345LPj0021062
for <***>; Tue, 4 Apr 2006 14:21:39 +0900
Received: from VLSJ (unknown [78.253.173.236])
by dnsd04.vivp.net (Coremail) with SMTP id 2sv2F8hnRmTrxRZ0.1
for <***>; Wed, 05 Apr 2006 13:21:37 +0800 (CST)
X-Originating-IP: [78.253.173.236]
Date: Wed, 5 Apr 2006 13:21:37 +0800
From: 小林 <3bj@dnsd04.vivp.net>
To: "***" <***>
Subject: 貴方宛に紹介状が届いております。
Mime-Version: 1.0
Content-Type: text/plain;
charset="shift-jis"
Content-Transfer-Encoding: base64
Message-ID: <20060405R34udfDRm.oGMVKXWbZ>

千夏様よりご契約頂き仲介させて頂いております。
申し遅れましたが、私、担当の小林と申します。

お2人様より契約金と致しまして10万円頂きました。
私は仲介ですので、千夏様とお会いして頂ければ貴方様へ7万円のご協力料金としてお支払い致しま
す。

気に入ったお一人とお会いになった後ご連絡下さい。
即日お振込み致します。

コメントを頂いて居りますのであわせてお送り致します。
↓↓↓↓↓↓↓↓↓↓
はじめまして。千夏です。
最近これでいいのかなぁ、なんて思ってしまうことが
あります。プラベートが充実していないでいかな。
こういう所でしか出会う手段がないので、思い切ってお願いしました。
夫は単身赴任で月1度しか帰ってこないので、会うのは夜でも構いません。
秘密の守れる方、是非お待ちしています。


[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0043番へ]
bokumetusiteki