zhang junのすべて

謎の中国人 zhang junのすべて

追補(2004-3-29)：zhang junの仲間と見られるhuang gui fang名義で登録したドメインでもspamが発信され始めました。

追補(2004-5-11)：Alan Ralskyとの関係も発見されました。Alan Ralskyに宣伝を委託している可能性大。

追補(2004-6-2)：wu ping、 hu xian、 zhong lianという別名もつかわれています。

追補(2004-8-4)：バイアグラのメーカー、オンラインでの偽物退治に乗り出す。訴訟も始まったそうです。 Pfizerの声明(英文)

zhang junとは中国人と思われるspammerです。spamの送り方の多様性から考えてこの名前に代表される複数の人物からなる組織と思われます。当社ではこのグループから来るspamを「zhang junスパム」と呼んでいます。

ドメイン取得ではhuang gui fang,qing zhangという名前も使われていますが宣伝するサイトが同一であること、名前と登録のアドレスが中国であることから考えてこれも同一人物あるいは同一組織と思われます。全部小文字の名前で登録しているとことも同一です。

このspammerはGenericと称するViagraまがいの薬品を製造直売と称して販売しています。ウエブサイトでの画像で、左にGenericの画像文字、右にViagraの画像文字を入れているためちょっと見ではGeneric Viagra（純正バイアグラ）と間違えてとってしまう効果を狙っているようです。通常ウエブサイトにはどこの組織なのか、どこの国のサイトなのかがわかる情報はありません。

2004-4-24 ご指摘がありました：薬品についてこの場合「Generic」は「後発品」の意味でしょう。とのことでした。

Viagraはご存じ有名薬で特許がまだ存在するもののため製法、成分を同じに作ることはできないはずで効果が同じようにあるかどうかはわかりません。(とりあえずwebmasterには必要無いので試したこともありません ;-)
"偽バイアグラ" で検索したらこんな結果が(サンケイスポーツ)。バイアグラを元に極端に薄めて作るらしいですね。そりゃ安いわけだ。

最近はペニス大きくします薬とかいったあやしい薬もいろいろ売っています。(追補2004-4-13)

このspammerの最大の特徴は毎日のようにドメインを取得して（今までに観測したドメインの数は1100以上あります）そのドメインでアクセスできるウエブページを開設しています。spamのFrom: にそのドメインが使われている事例も多数あります。

取得したドメインを使ってspamを送ったあと数日から1週間程度でDNS自体を停止するため古いspamにあるドメインではアクセスできなくなります。使い捨てドメインでビジネスをしているわけです。このためドメイン名は最短の1年で取得しています。

ドメインは主に中国とインドの複数のレジストラから取得しています。（以下がリスト）

http://www.paycenter.com.cn/
http://www.bizcn.com/
http://www.hichina.com/
http://www.onlinenic.com/
http://www.directi.com/

spamは
comcast.netやmindspring.comやattbi.comその他米国のISPからで米国に割り当てられているアドレスの回線
韓国に割り当てられている回線
中国(main land)に割り当てられている回線
台湾に割り当てられている回線
から送出されています（同時多発spamです）。
送っている回線から関係者はアメリカ、中国および韓国のどこかに在住しているものと思われますが、ウエブページは英語であり、通販の発送先リストにはアメリカがあることから製品を（本当に送っているならば）発送するには少なくとも一人がアメリカ在住である可能性が高いと想像されます。

最近は上記以外にも世界中から送ってきています。いろいろ調査してみるとOpenProxyはたぶん使っておらずウイルス感染PCか世界中にいるシンジケートに送信をやらせているかのどちらかと推定しています。(2004-6-15)。

Fromは全く関係ない組織のドメインを詐称していたり、自分で取得したドメインであったりまちまちです。自分で取得したドメインがFrom:にある場合にはそのメールサーバーは立ち上がっておらずエラーメールは返りません。

日本時間の月曜夜から火曜一杯はspamは全く来なかったり少なかったりするのでこの日は休日をとる模様です(2004-6-15)。

取得するドメインの特徴は
1) かならず .com であること
2) ドメインの名称に med とか meds とかが含まれている事例が多く短めなドメインであること（最近はアイデアが枯渇した為かそうでもない）
です。.comドメインの取得は簡単な上に安価だからでしょう。

送り先のアドレスはドメイン名を登録したときのものと思われますが、かなり古い時期に変更したアドレスであることが判明しているのでこいつが独自に収集したものでなく米国spammerによく利用されている古いアドレスリストを入手しているようです。

拒絶方法

拒絶方法ですがSpamAssassinでだいたい選別できるのですがSpamAssassin逃れのワザを使ってくることもあるので、最初はzhang junドメインリストを以下のように追加（/etc/mail/access）したあと新規分については届いたspamからwhoisでzhang junまたはhuang gui fangまたはhuang gui fang,qing zhang名義であることを確認したり、本サイトの日刊zhang junの項を見て追加するのがよろしいでしょう。

cared45.com	REJECT
tfdf4esdd.com	REJECT
solent1.com	REJECT

さらにはたまにSpamAssassin逃れのURLだけとか無関係な単語を羅列したspamも来るので見事通り抜けられてしまったら、

body URL_tfdf4esdd /http:\/\/www.tfdf4esdd.com/i
describe URL_tfdf4esdd  www.tfdf4esdd.com
score URL_tfdf4esdd 5.0

のように本文中のNGワードをひっかけspamと判定させます。(/etc/mail/spamassassin/local.cf)

zhang jun以外にもバイアグラ、偽バイアグラを売る組織はたくさんあるのでspamビジネスでバイアグラは相当もうかるようですね。でも正規の品であっても処方箋無しに販売すると薬事法違反になるはずなのでよいこの皆さんはまねをしないように。

Nikki Top