ID-code:0QjFJ/qcywk

最近中国系文字化けspam思われるアダルトスパムが毎日着弾しかなり迷惑しています。中国からの場合は中国への連絡先が不明です。
デ協に連絡済み
＜件名>＞
ZPA増刊　身元がバレなきゃ大胆に… 実際はZPA?????????... です。
＜ヘッダー＞
Return-Path: <sdfdfsadkdjfoisnfmxcsdfsa＠sdfsd.com>
Received: from sdfsd.com ([222.169.83.120]) by mta11.m2.home.ne.jp with ESMTP id <20050604020014.TSZE4729.mta11.m2.home.ne.jp＠sdfsd.com> for <アドレス>; Sat, 4 Jun 2005 11:00:14 +0900
From: "sdfsdfsdf" <sdfdfsadkdjfoisnfmxcsdfsa＠sdfsd.com>
Subject: =?*?B?*+DjILIgquC4ZHlkl+CyYFj?=
To: アドレス
Content-Type: text/plain;charset="EUC"
Reply-To: sdfdfsadkdjfoisnfmxcsadf＠sdfasdf.com
Date: Sat, 4 Jun 2005 10:01:15 +0800
X-Priority: 2
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
Message-Id: <20050604020014.TSZE4729.mta11.m2.home.ne.jp＠sdfsd.com>
本文
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
▼▼▼▼ＺＰＡ　臨時増刊号！ <●●　ttp://www.v-shock.biz/　●●>▲▲
▼▼▼　　身┃元┃が┃バ┃レ┃な┃き┃ゃ┃…┃Ｓ┃Ｐ┃人妻大特集▲▲▲
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■□　ＺＰＡから世のエロエロ旦那さんに向けて、ド淫乱情報発信中。　□■

　風俗で本番したら、金を要求されて、やっぱ素人だな…と思う…初夏

　ハァハァしちゃう、人妻を徹底解剖してみました。

　ネットで探す理由はズバリ！

　「身元がバレなきゃ大胆になれるから！」

　うーん、意外とあたりまっちゃあたりまえの回答です　ｗｗｗ

　そんな人妻を発見したんで、早速会いに行ってきました！

　突撃隣の人妻レポートです！

　⇒　ttp://www.v-shock.biz/

┏━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃淫┃Ｚ Ｐ Ａ ナ ビ 運 命 占 い
┗━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

　　とりあえず、なんか当たるかもしれないけど、運勢を見てちょ！◎

　　┏／＼━━━━━┳━━━━━━━━━━━━━━━━━━━━━━━┓
　　／Ｚ　＼　　　　：　　◎おうし座　人妻過激写メを… 　　１名様　 ┃
　　＼　Ａ　＼　　　：　　○かに座　　ご近所人妻メアド　　　30名分　┃
　　┃＼　Ｐ　＼　　：　　○双子座　　双子人妻発見レポート２０名様　┃
　　┃　＼　運　＼　：　─────────────────────　┃
　　┃　　＼　命　＼：　　とりあえず、ご近所検索すれば、　　　　　　┃
　　┃　　　＼　占　＼　　人妻いるんで探してみてちょうだい！　　　　┃
　　┃　　　　＼　い／　　まぁ、最近は女子校生も多いので困りもんです┃
　　┗━━━━━＼／┻━━━━━━━━━━━━━━━━━━━━━━━┛
　　　　　　　　　　▼　運 命 占 い　は こ こ か ら　▼

ttp://www.v-shock.biz/

┏━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃乱┃Ｚ Ｐ Ａ ナ ビ 裏 風 俗 ド キ ド キ ク イ ズ！
┗━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
　【問題】ある、サイトを見ていたら、掲示板上に、

　「ホ別大２からお願いします！」

　との書き込みを発見しました。

　さて、ホ別大２とはどういう意味なんでしょうか？

　答えは↓下記サイトに隠されています！

ttp://www.v-shock.biz/


きょう
＃ｓａｇｅ

ID-code:6EvfhpKDCl6

中国系は連絡先不明なところが多いですね。
Whoisしても信用できない情報だったり、送ってもエラーが返ってきたり。
しょうがないので、Spamcop経由で送っては放置してます、私は。
手動で送っても、2-3日して「そんなメアドはないぞ」とエラーが返ってくることが多いので…。
あと中国系・中国経由のものは一度着信すると同じ FROMアドレスから延々と送られてくる傾向があるので、
Whoisしてみて実在のドメインならドメイン毎着信拒否に設定してます。

ID-code:SBmVS.qlfOU

Zeitです。

「ZPA」ですが、私のところにも来ています。ヘッダを調べたところ、アメリカ発・中国経由と読めますが、アメリカ発のReceived行は偽装のように思えます。
Receivedが複数あり間にMessage-ID行が挟まっている場合、それ以下は偽装のことが多いです。また、アメリカ発なのにタイムゾーン情報が-0000というのも怪しいし、アメリカ→日本のメールが中国を経由するというのも考えにくいです。さらにX-Originating-IPがついているのも、かえって怪しさ倍増です。
Webメールでは件名・本文とも激しく文字化けしていましたが、Outlook Expressで受信させてみたら、判読できました。

なお、本文中の宣伝URLは、アメリカのサーバのようです。
---------------------------------------------------------------------------
Return-Path: pgatjkfzzsmgk＠mail.com
Date: Sat, 4 Jun 2005 02:18:45 +0800
From: "pgatjkf" <pgatjkfzzsmgk＠mail.com>
To: ***
Subject: スクープ！超有名サポ系サイトの管理者が登場！2005-06-04
Received: from 219.147.189.152 ([219.147.189.152])
by *** with ESMTP id *****;
Sat, 4 Jun 2005 03:18:41 +0900
Message-Id: <200506031818.*****＠***>
Received: from unknown (HELO vlm10943.net) (104.34.159.23)
by 219.147.189.152 with SMTP; 3 Jun 2005 18:18:46 -0000
X-Originating-IP: [104.34.159.23]
X-Mailer: VolleyMail.net 5.9[cn]
Mime-Version: 1.0
X-Priority: 1
X-MSMail-Priority: High
Content-Type: text/plain;
charset="ISO-2022-JP"
Content-Transfer-Encoding: base64

----------------------------------------- PRODUCED BY ZPA
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
【テレ酷 vol.106】 ZPA付録 　ZPA増刊号による潜入　メルマガ
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
サクラがいない出逢いサイト< http://www.thewait.info/ >
で、激評本人が素人をナンパ。本番画像を公開しています。
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　<おまけ画像のURLおよびIDとPASSは100行周辺にございます>

ZPAです

「あの有名サイトの管理人が告白」

なんと！あの援助交際で有名なサイトを管理していた、Ｂ氏がカメラ
の前に初登場！

--------------------------------------------------------------

「僕のサイトに、マジメな素人はいない！」

こういい切るＢ氏は、実は援助交際が大嫌い。

　詳細記事　⇒　ttp://www.thewait.info/

僕は、素人女性を捕まえて、自分好みに調教するのが好きなんだよ。

もちろん、お互いに合意の上だけどね。

だから、他社のサイトを使うんだ。

　詳細記事　⇒　ttp://www.thewait.info/

まぁ、完全無料だから、使うお金は、ホテルとレストラン代くらい。

安いもんだよ（笑い）

--------------------------------------------------------------

Ｂ氏が最後に、このメルマガの読者だけに、サイトをコッソリ教えて
くれたぞ！！

　サイトはこの中に　⇒　ttp://www.thewait.info/

--------------------------------------------------------------
60769

---------------------------------------------------------------------------
日本語スパムなのでデ通協に、また海外発なのでSpamCopで報告済です。

ID-code:EbLEuu7GGRk（本記事は投稿者自身により07/02-18:48に修正されました）

　Ytanさん、今はもうYtinさん(?)、はじめまして。

　今頃になって突然申し訳ありませんが、ちょっと分からないことが出てきた
ので、教えてくださいませんか？

> ＜件名>＞
> ZPA増刊　身元がバレなきゃ大胆に… 実際はZPA?????????... です。

とのことですが

> ＜ヘッダー＞
　【略】
> Subject: =?*?B?*+DjILIgquC4ZHlkl+CyYFj?=
ヘッダにこのように暗号化された文字列があれば、Outlook Express では、
+以降は「(*)レなきゃ大胆に…」と読めます。
また、Subjectに「ZPA?????????...」と表示されるのであれば、ヘッダの
方は例えば「/Pz8」の繰り返しに終わり、判読のしようがないのですが、
Ytanさんの場合、件名はどのようにして「ZPA増刊 身元がバレなきゃ大胆
に…」と判読できたのでしょうか？

それと、Subject 部分の最初の伏字(*)はエンコードを記しているはずですが、
それは「euc」でよかったですか？
それとも「euc-cn」「euc-kr」あるいはほかの何になっていますか？

Subject 部分の2番目の伏字も、「ZPA増刊　身元がバ」の部分を暗号化した文字列
と思いますので、もし差し支えなければ教えてくださいませんか？
＃ｓａｇｅ

ID-code:wBA1LnqqSho

> それと、Subject 部分の最初の伏字(*)はエンコードを記しているはずですが、
> それは「euc」でよかったですか？
　
いわゆるpaulresis系（このspamでは王強―ワンチャン）spamの文字化けヘッダの多くはGB-2312（＝EUC-CN：中国簡体字）です。
　
http://a10s.blog6.fc2.com/blog-entry-243.html
> Received: from unknown (HELO ******.co.jp) (222.169.85.60)
> From: "polyresin" <polyre***＠******.co.jp>
> Subject: =?GB2312?B?WlBBkZ2Kp4FAkGeMs4Kqg2+DjILIgquC4ZHlkl+CyYFj?=
　
うちに来たのは↑こんなのでした。
その他参考用ページ↓
　
http://blog.so-net.ne.jp/mirlin/2005-06-05-1
＃ｓａｇｅ

ID-code:EbLEuu7GGRk

　高津様、ご教示を大変ありがとうございました。
ご紹介くださった Web ページも閲覧させていただきました。

> いわゆるpaulresis系（このspamでは王強―ワンチャン）spamの文字化けヘッダの
> 多くはGB-2312（＝EUC-CN：中国簡体字）です。

とは全く知らずにおりました。

　急に知りたくなったのは、Ytanさんの提供されている spam のヘッダの
Return-Path: <sdfdfsadkdjfoisnfmxcsdfsa＠sdfsd.com>を見た時に、
価格.com 関連で、白梟さんの提供なさったサンプル（記事No: 20774）中
「■中国経由で送信されたもの」のヘッダの
Return-Path: <dfdf＠sdfk.com>を連想したことがきっかけでした。
価格.com 関連の spam では、白梟さんが（同記事の中で）指摘なさっている
とおり、「From のみ GB2312 でエンコードされている」という特徴がありま
したが、こちらの spam の Subject も GB2312 でエンコードされているとは、
少し驚きました。
　もっとも単に私自身の知識・経験が不足しているだけのことかも知れません。

また１つ勉強させていただき、感謝いたしております。
＃ｓａｇｅ

ID-code:VZYXNtkShLg

> Return-Path: <sdfdfsadkdjfoisnfmxcsdfsa＠sdfsd.com>を見た時に、
> 価格.com 関連で、白梟さんの提供なさったサンプル（記事No: 20774）中
> 「■中国経由で送信されたもの」のヘッダの
> Return-Path: <dfdf＠sdfk.com>を連想したことがきっかけでした。

　細かいところを観察してますねぇ。
私は、そこら辺の詐称っぽいドメインまで注意して見てないです。
けどこれ、（特に上の奴は）主に左手で適当に打っただけだったりとかしそうな…。

> 価格.com 関連の spam では、白梟さんが（同記事の中で）指摘なさっている
> とおり、「From のみ GB2312 でエンコードされている」という特徴がありま
> したが、こちらの spam の Subject も GB2312 でエンコードされているとは、
> 少し驚きました。

　詳しくないので間違っているかもしれませんが…。

このスレッドの Subject ですが、正確には GB2312 ではありません。
実際は Shift_JIS をエンコードしているようです。
スパムではよくある事なんだけど、自称している文字コードと、実際のそれが異なって
います。そのため、多くの受信環境ではデコードに失敗してしまっている事でしょう。

じゃあ価格.com 登録アドレスに届いているスパムの方はどうかというと、From に入って
いる文字列が半角英数字のみであるため、私にはどちらとも判断できないです。
Subject の文字列の方は、宣言どおり ISO-2022-JP で合っていると思います。
（私の使ってるメーラーは、受信時に書き換えちゃうので、デコードした結果しか残って
ませんが。）

# あっちレス書いてなくてごめんなさい。後で書きます。
＃ｓａｇｅ

ID-code:EbLEuu7GGRk（本記事は投稿者自身により07/30-16:28に修正されました）

　白梟さん、快刀乱麻とはこのことですね。

> > Return-Path: <sdfdfsadkdjfoisnfmxcsdfsa＠sdfsd.com>
> けどこれ、（特に上の奴は）主に左手で適当に打っただけだったりとかしそうな…。
すっかり脱帽です !!

　当方、確認が足りませんでした。
自分あてのタイトルメールで実験してみました。
Outlookでエンコードを shift_jis にして、日本語でくだんの件名を入れて発信、
OE で受信すると、
「ZPA増刊　身元がバレなきゃ大胆に…」と読め、
ヘッダは
　Subject: =?shift_jis?B?WlBBkZ2Kp4FAkGeMs4Kqg2+DjILIgquC4ZHlkl+CyYFj?=
（SPAM のヘッダは
　Subject: =?gb2312?B?WlBBkZ2Kp4FAkGeMs4Kqg2+DjILIgquC4ZHlkl+CyYFj?=）
また、OE で送信の際のエンコードを GB2312 にして、件名に「ZPA増刊　身元がバレ
なきゃ大胆に…」と入れて送受信したところ、ヘッダは
　Subject: =?gb2312?B?WlBBiYi/r6Ghye3UqqSspdCl7KTKpK2k47Tztaiky6Gt?=
と表示されました。受信したメールを GB2312 としてデコードすると、当たり前ですが、
入れたとおりに読めました。
OE の読み取りの「日本語（自動選択）」は便利なようでいて融通が利き過ぎ、困りもの
ですね。

　さて、半角英数記号のみから成る文字列については、通常は全く暗号化されないよう
ですが、あえて暗号化すれば、暗号に使用される文字列は異なるエンコードの間でも
共通性があるようです。　文字化けに縁がないのはそのせいと思われます。
例えば、「ZPA」については
=?iso-2022-jp?B?WlBB?=　=?shift_jis?B?WlBB?=　=?gb2312?B?WlBB?=　
=?ks_c_5601-1987?B?WlBB?=　=?utf-8?B?WlBB?=　=?utf-7?B?WlBB?=
のいずれでも ZPA と表示され、受信したメールを種々のコードでデコードして見ても、
ZPA に変わりありません。
価格.com 関連スレッドのきんたろうさんのサンプル、「click Planner」といった
長い文字列でも同じことが言えると思います。

とりあえずご報告まで。
＃ｓａｇｅ