zhang junスパムの分析: zsf567.comを例に
あいかわらず止まらないzhang junスパムですが奴の取得したドメインzsf567.comを例にどこから来ているか分析しました。
/var/log/maillgでzsf567.comを拒絶している部分の記録から抽出した送信ホスト
リストがここです。
このリストによると実に多くの国から発信されていることがわかります。中には日本もあります。
いくつかをサンプリングしてwww.rbl.jpでOpen ProxyのDBに登録されているかどうか調査しましたがされているものは
ありません。しかしながらどう見てもOpen Proxyまたはウイルスに侵されたマシンを無断利用していると思われますので
現在調査中です。
調査結果が出ました(2004-5-26)
送って来たホストはOpen Proxyのサーバーではありませんでした。また送ってきているホストはWindowsマシンであることが判明しました。きわめて多くの国に分散しているためメンバーが直接送っていることは考えられずWindowsの弱点をついたアタックをして乗っとってから送った模様。
特定ドメインのspam(もちろん主役はzhang junですが)を送ってきたホストを自動的に抽出しウイルスとは別のRBLとして立ち上げることを決定しました。メールのログとドメインを比較してダブりなくデータを生成するのが大変ですが現在構想中です。できればボランティアの方いませんかね。(2004-5-26)
Nikki Top