US NMAと称するspamが来まくり

今日会社に出てきてメールをPOPしたら2900通も未読メールがあったので何事かと思ったら、「The United States National Medical Association」というサブジェクトでUS NMAを名乗るspamが来まくり・・・

色々なサーバやサイトの管理用アカウント含め、色々なメールアドレスのメールを受け取ってるから、そこら中に撒かれてるのかなぁ？と思ったら、特定の一つのアドレス宛のみ。
しかも、このドメインってシャレで取っただけでこれまでにも全然使ってないのになぁ(^^;

本文にはus-nma.comというドメイン名が書かれているけど、コレは実在しないと言うか、未登録らしい。
で、ソースを見てみると、リンク先はenmukasunfdes.comという中国の人が所有するドメインになっていて、こっちが本命（謎）らしい。
リンクはhttp://enmukasunfdes.com/?の後にBASE64したっぽいモノがくっ付いてるんだけど、そのままアクセスするのも芸が無い（違）から、とりあえず?以降を外してアクセスするとForbiddenとか言われてしまったorz

仕方ないので、とりあえずBASE64っぽい所をデコードしてみたんだけど、生メールアドレスにはならないから、何か暗号化されてるんだろう。
ってか、メールアドレスより5byte長いし。
このターゲットにされたドメイン名には同じ文字が2回出てくるんだけど、BASE64のデコード結果では同じ値のが一組しかなくて、しかも期待される（謎）間隔より離れすぎてるから、単純に値にオフセット付けたという程度のモノでもなさげ。

という事で面倒臭くなってきた(^^;から、それ以上解析するのはヤメ

今もまだ来まくってて、メーラではフィルタリングで既読にして特定フォルダーに入れるようにしたんだけど、それも面倒だからprocmailで着信と同時に別ディレクトリに退避するようにしてみた。

みたは良いんだけど、まだ2時間しか経ってないのに、1000通超えちゃったよorz
しかも、同じIPアドレスからは（今の所）全く来てない。

って事は、もしかしてとっても上質なボットネットのリストが出来上がりつつあるんじゃないかと・・・(^^;
中国や台湾のドメインも多いけど、日本のモノっぽいのも少なからずあるなぁ

コメント

順調に（違）増加中。
procmailでの退避開始から7時間で5768通。
しかも今の所IPアドレスの重複無いっぽい。

投稿: ＜セルダン＞ | 2007.06.30 00:59

これは管理者にとっては深刻な問題ですね。
ボットネットですか…TCP/IPより上位層まで監視するような時代が
来るんでしょうかね？(クライアントの現状は既にそうですが…)
試しに、whoisで検索してみたらなんかwhoisデータベース利用に関するなんたらがドバッと表示されてビックリしました(笑)
digで調べたら、軒並みAレコードから返事が来る。
あまり詳しくないのでよくわかりませんが、「ブラックマーケット」という言葉が脳裏に浮かんでしまいました。
ARPANETまで汚染されたら、インターネットは終わりでしょうね…
すいません、解決策が全く思いつきません。

投稿: まっちゃん | 2007.07.01 21:04

＞まっちゃんさん
結局、30日の1時頃にはだいたい打ち止め（謎）になったようで、それ以降もボチボチは来てますが、ほぼ終わったっぽいです。
で、結局全部で1万通以上来て、ほとんどIPアドレスの重複は無しという結果に・・・
って事は、1万台規模のボットネットがあるって事ですねぇ(^^;

今回の件、特定のメールアドレスに大量にメールを送っても（送る側としては）何もメリットが無い訳で、おそらくは設定ミスとかソレ系の気がします。
まぁ、DDoSを企図してるという可能性も無いでもないけど、それにしては1万通って少なすぎ(^^;

投稿: ＜セルダン＞ | 2007.07.02 01:34