X
jason006,joynerstar, warren2004
0001名無しさん@お腹いっぱい。
垢版 |
2006/04/18(火) 19:52:22ID:W0s3ls+f0
最近特に悪質なspammer jason006類について

詳しくは>>2以下で。
0002名無しさん@お腹いっぱい。
垢版 |
2006/04/18(火) 19:55:31ID:W0s3ls+f0
特徴:
1.ヘッダが文字化け
2.Base64エンコーディング
3.ポストして来るホストがDSL回線等ゾンビPCと思われるホスト
4.それだけじゃなく、WWW/DNSサーバ全てがゾンビPC
0003名無しさん@お腹いっぱい。
垢版 |
2006/04/18(火) 20:06:16ID:W0s3ls+f0
実際例:

Return-Path: blacksmith777@aol.com
Return-Path: <blacksmith777@aol.com>
Received: from my.host.addr ([58.67.137.125])
by ns.my-dns.addr (8.13.6/8.13.3) with SMTP id k3I9EvkU078633
for <myname@my-dns.addr>; Tue, 18 Apr 2006 18:15:06 +0900 (JST)
(envelope-from blacksmith777@aol.com)
Received: from 32.160.137.133 by 58.67.137.125; Tue, 18 Apr 2006 11:09:37 +0300
Message-ID: <SRSQIRLLMLJWAOISJSFLUB@dion.ne.jp>
From: "R 絏" <blacksmith777@aol.com>
Reply-To: "R 絏" <blacksmith777@aol.com>
To: myname@my-dns.addr
Subject: ?s菘
Date: Tue, 18 Apr 2006 11:06:37 +0300
X-Mailer: AOL 8.0 for Windows US sub 982
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-IP: 208.244.144.98
Content-Type: text/plain;
Content-Transfer-Encoding: base64


☆∴:.。★.‥゛°°★°.:¨☆。∵★.゜゛。☆。∵。☆ ∵★
┏─┓┏─┓┏─┓┏─┓┏─┓┏─┓┏─┓┏─┓
┃完┃┃全┃┃逆┃┃援┃┃助┃┃専┃┃用┃┃♪┃
┗─┛┗─┛┗─┛┗─┛┗─┛┗─┛┗─┛┗─┛
☆∴:.。★.‥゛°°★°.:¨☆。∵★.゜゛。☆。∵。☆ ∵★
◆――――――――――――――――――――――――――――◆
     ◆エッチなセレブ娘が貴方の体を求めて◆
◆――――――――――――――――――――――――――――◆

   ≫≫  http://item.jason006.com/a5/  ≪≪
   
(略)
0004名無しさん@お腹いっぱい。
垢版 |
2006/04/18(火) 22:34:14ID:q181TzYv0
うほ、専用スレが立ったんだ>自営損

おみやげ↓
Domain Name: JASON006.COM
Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
Whois Server: whois.melbourneit.com
Referral URL: (p)http://www.melbourneit.com
Name Server: NS1.POMTILIPOM.COM
Name Server: NS2.POMTILIPOM.COM
Name Server: NS3.POMTILIPOM.COM
Name Server: NS4.POMTILIPOM.COM
Name Server: NS5.POMTILIPOM.COM
Status: ACTIVE
Updated Date: 01-apr-2006
Creation Date: 19-mar-2006
Expiration Date: 19-mar-2007
0005名無しさん@お腹いっぱい。
垢版 |
2006/04/18(火) 22:36:01ID:q181TzYv0
ついでに↓
Domain Name.......... jason006.com
Creation Date........ 2006-03-19
Registration Date.... 2006-03-19
Expiry Date.......... 2007-03-19
Organisation Name.... jason lee
Organisation Address. 174 E. 90th St. Apt. 3B
Organisation Address.
Organisation Address. New York
Organisation Address. 10128
Organisation Address. NY
Organisation Address. UNITED STATES

Admin Name........... jason lee
Admin Address........ 174 E. 90th St. Apt. 3B
Admin Address........
Admin Address........ New York
Admin Address........ 10128
Admin Address........ NY
Admin Address........ UNITED STATES
Admin Email.......... jason_le006@yahoo.com
Admin Phone.......... +1.2129875270
Admin Fax............

Tech Name............ jason lee
Tech Address......... 174 E. 90th St. Apt. 3B
Tech Address.........
Tech Address......... New York
Tech Address......... 10128
Tech Address......... NY
Tech Address......... UNITED STATES
Tech Email........... jason_le006@yahoo.com
Tech Phone........... +1.2129875270
Tech Fax.............
Name Server.......... ns1.mokonan.com
Name Server.......... ns2.tembooo.com
Name Server.......... ns3.tembooo.com
Name Server.......... ns4.tembooo.com
Name Server.......... ns5.tembooo.com
0007名無しさん@お腹いっぱい。
垢版 |
2006/04/19(水) 03:10:16ID:EwMBmHb50
またさっき届いた。
ここもだが、最近来るスパムはCCやBCCを使わずに、宛先欄にいくつものアドレスを書いてるのが多いね。
0008名無しさん@お腹いっぱい。
垢版 |
2006/04/19(水) 13:10:34ID:TUAe3ZHC0
>>7
そうかなぁ.....うちにきてるのは、ほとんど1通分だけなんだけど
メールサーバ毎にまとめてるのかな。
ここのspamってかなり追いにくいよ。

わかってる事をメモすると

1.誘導先のWWWはBotnet上に構築された
HTTP逆プロクシー(つまり、クライアントからのアクセスを
ある特定のホストにリダイレクトする)

2. HTTPのHost:ヘッダベースのバーチャルホスティング機能を持つ
例: ttp://hoge.jason006.com/ ならつながるが、
hoge.jason006.comを引いたら192.168.4.8になったとして
ttp://192.168.4.8/ にアクセスしても正しいコンテンツを返さない。
また、最近何らかのヘッダが無いとアクセスを切断される。
(手でリクエストを生成しても何故かうまく行かない)
ただし、*.jason006.com自体は同じコンテンツを返す。
また、HTTPの返答はDebian上のLinuxを返す。
(netcraft等を使い確認する事が可能)

3. *.jason006.comは同じホスト群をラウンドロビンして返す。そして、
ノードの生存状況に応じてラウンドロビンに参加するホストを
入れ換えているらしい。


0009名無しさん@お腹いっぱい。
垢版 |
2006/04/19(水) 14:27:10ID:C0g5f9Su0
Spamcopへの通報でabuseレポート先が出てくるようになった
ちょっとはしゃぎ過ぎたようだね>ジェイソン坊や
0010名無しさん@お腹いっぱい。
垢版 |
2006/04/19(水) 19:03:03ID:TUAe3ZHC0
メモ続き

誘導先のWWWサーバはDNSサーバも兼ねている。
DNSサーバは、jason006の他にwhoisに出て来る
mokonan.com, tembooo.com へのqueryに返答する。
それ以外のqueryはrefuseする。

jason006系と似たような傾向のメールが他のサイトの宣伝でも
来る事があるが、WWWまでbotnetな事は稀。

botnetの技術的詳細は以下に詳しい。
ttp://www.vogue.is.uec.ac.jp/honeynet/whitepaper.html
ttp://www.vogue.is.uec.ac.jp/honeynet/papers/bot.html
0013名無しさん@お腹いっぱい。
垢版 |
2006/04/20(木) 19:13:44ID:Jr7K42/w0
jason006最近毎日大量に届くな...
0014名無しさん@お腹いっぱい。
垢版 |
2006/04/21(金) 13:58:23ID:xHpqpiJV0
ここもお気に入りみたいだ

inetnum: 82.237.248.0 - 82.237.251.255
netname: FR-PROXAD-ADSL
descr: Proxad / Free SAS
descr: Static pool (Freebox)
descr: arf62-1 (arleux)
descr: NCC#2005090519
country: FR
admin-c: ACP23-RIPE
tech-c: TCP8-RIPE
status: ASSIGNED PA
remarks: Spam/Abuse requests: mailto:abuse@proxad.net
mnt-by: PROXAD-MNT
source: RIPE # Filtered
0015名無しさん@お腹いっぱい。
垢版 |
2006/04/21(金) 19:35:37ID:sA9Jw/N90
jason006まじでムカつく
なんとかつぶせねーかここ
0017名無しさん@お腹いっぱい。
垢版 |
2006/04/21(金) 21:00:23ID:zLUcuRBc0
悪徳サイトjason006.com
メールでのお問合せ先
info@will.tv
0019ほしさん
垢版 |
2006/04/22(土) 14:52:38ID:KIVw/W4I0
http://jason006.com のソースより一部抜粋

href="http://puredoor.net/?bb"
href="http://htm.x07.jp/pc/?0h06-6"

こんなの見つけました

href="http://puredoor.net/?bb"の方は

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 210.188.249.128/25
b. [ネットワーク名] HYPERBOX
f. [組織名] 有限会社ハイパーボックスコーポレーション
g. [Organization] Hyperbox Inc.
m. [管理者連絡窓口] TF1920JP
n. [技術連絡担当者] TF1920JP
p. [ネームサーバ]
[割当年月日] 2003/04/16
[返却年月日]
[最終更新] 2003/04/16 16:42:11(JST)

上位情報
----------
さくらインターネット株式会社 (SAKURA Internet Inc.)
[割り振り] 210.188.240.0/20
エスアールエス・さくらインターネット株式会社 (SRS SAKURA Internet Inc.)
SUBA-247-105 [SUBA] 210.188.248.0/22


0020名無しさん@お腹いっぱい。
垢版 |
2006/04/22(土) 20:30:46ID:ethX+ynM0
jasonから配信ツールの設定ミスっぽいmailが来た。
Received:だのMessageID:だのをランダムに生成するテンプレートのまま。
デタラメすぎる…。
0023名無しさん@お腹いっぱい。
垢版 |
2006/04/22(土) 21:11:30ID:++A9pXOR0
http://www.okdk.jp/
ここもageでみるけど
どよ?
0026名無しさん@お腹いっぱい。
垢版 |
2006/04/23(日) 17:38:51ID:aF9Gm3Hs0
例によってmokonan.com. tembooo.comも使ってるね。

Domain Name: CORMIERI.COM
Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
Updated Date: 18-Apr-2006
Creation Date: 02-Apr-2006
Expiration Date: 02-Apr-2007

Domain Name.......... cormieri.com
Creation Date........ 2006-04-03
Registration Date.... 2006-04-03
Expiry Date.......... 2007-04-03
Organisation Name.... Philip Cormier
Organisation Address. 128 Norway Rd
Organisation Address.
Organisation Address. Bangor
Organisation Address. 04401
Organisation Address. ME
Organisation Address. UNITED STATES

Admin Name........... Philip Cormier
Admin Address........ 128 Norway Rd
Admin Address........
Admin Address........ Bangor
Admin Address........ 04401
Admin Address........ ME
Admin Address........ UNITED STATES
Admin Email.......... cormierphil_1@yahoo.com
Admin Phone.......... +1.2079418365
Admin Fax............

Tech Name............ Philip Cormier
Tech Address......... 128 Norway Rd
Tech Address.........
Tech Address......... Bangor
Tech Address......... 04401
Tech Address......... ME
Tech Address......... UNITED STATES
Tech Email........... cormierphil_1@yahoo.com
Tech Phone........... +1.2079418365
Tech Fax.............
Name Server.......... ns1.mokonan.com
Name Server.......... ns2.tembooo.com
Name Server.......... ns3.mokonan.com
Name Server.......... ns4.mokonan.com
Name Server.......... ns5.mokonan.com

0027名無しさん@お腹いっぱい。
垢版 |
2006/04/23(日) 17:45:30ID:aF9Gm3Hs0


Domain Name: MOKONAN.COM
Registrar: TUCOWS INC.
Whois Server: whois.opensrs.net
Referral URL: http://domainhelp.tucows.com
Name Server: NS5.MOKONAN.COM
Name Server: NS4.MOKONAN.COM
Name Server: NS3.MOKONAN.COM
Name Server: NS2.MOKONAN.COM
Name Server: NS1.MOKONAN.COM
Status: ACTIVE
EPP Status: ok
Updated Date: 17-Apr-2006
Creation Date: 06-Apr-2006
Expiration Date: 06-Apr-2007
0030名無しさん@お腹いっぱい。
垢版 |
2006/04/23(日) 22:09:59ID:aF9Gm3Hs0
おなじbotnet使ってる奴。ED治療薬密売サイトらしい。
ボットネット商売してるな。こりゃ。

Non-authoritative answer:
Name: x.dampic.com
Addresses: 82.235.82.17, 69.235.15.225, 81.203.128.123, 82.48.126.250

Non-authoritative answer:
Name: a.redonis.com
Addresses: 82.33.89.174, 82.61.191.225, 82.235.82.17, 69.235.15.225

Non-authoritative answer:
Name: x.cormieri.com
Addresses: 82.61.191.225, 82.235.82.17, 81.203.128.123, 82.33.89.174
0031名無しさん@お腹いっぱい。
垢版 |
2006/04/24(月) 16:09:16ID:sA+8DmqR0
活発になってきやがったな 旧jason006.com

Domain Name: CORMIERI.COM
Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
Whois Server: whois.melbourneit.com
Referral URL: http://www.melbourneit.com
Name Server: NS2.TEMBOOO.COM
Name Server: NS1.MOKONAN.COM
Name Server: NS3.MOKONAN.COM
Name Server: NS4.MOKONAN.COM
Name Server: NS5.MOKONAN.COM
Status: ACTIVE
Updated Date: 19-apr-2006
Creation Date: 02-apr-2006
Expiration Date: 02-apr-2007

---

OrgName: Road Runner HoldCo LLC
OrgID: RRSW
Address: 13241 Woodland Park Road
City: Herndon
StateProv: VA
PostalCode: 20171
Country: US

ReferralServer: rwhois://ipmt.rr.com:4321

NetRange: 68.200.0.0 - 68.207.255.255
CIDR: 68.200.0.0/13
NetName: RR-SOUTHEAST-BLK3
NetHandle: NET-68-200-0-0-1
Parent: NET-68-0-0-0-0
NetType: Direct Allocation
NameServer: DNS1.RR.COM
NameServer: DNS2.RR.COM
NameServer: DNS3.RR.COM
NameServer: DNS4.RR.COM
Comment:
RegDate: 2003-01-31
Updated: 2004-09-17
0032名無しさん@お腹いっぱい。
垢版 |
2006/04/24(月) 21:23:29ID:hAo+zBZM0
土曜日から爆発的に送られてくるようになった。
まさに「爆発」的で、メールボムとかわらんよこれじゃ。
0034名無しさん@お腹いっぱい。
垢版 |
2006/04/25(火) 08:15:35ID:9+jKG9Dn0
>>31
しかしRRだから、RRの段階で止められる。

Road Runnerは有名なspam送信元。
0035名無しさん@お腹いっぱい。
垢版 |
2006/04/25(火) 08:39:52ID:LOsuG5GA0
CORMIERI.COMになってから、
SPAMCOPでレポート先が出るようになった。
(サブドメインが異なれば、そのサブドメインに対して)
JASON006.COMのときはさっぱりだったよな?

今は、SPAMCOPが出したレポート先+RR+melbourneit.comに
送ってる。
0036名無しさん@お腹いっぱい。
垢版 |
2006/04/25(火) 16:38:09ID:W9Os/+pI0
このbotnetの使うDNSのドメインがkolofow.com/bidcash.net
に変わったね。

実際のアドレスがbotnet中を歩き回ってるのは同じだけど。
tucowsにも言った方が良いんじゃないか?


0037名無しさん@お腹いっぱい。
垢版 |
2006/04/26(水) 11:33:40ID:L0nVm/Jx0
>>31
Spamcop経由でMELBOURNE IT宛に送ったレポートに対して
返信が届いた。


Thank you for your email but Melbourne IT is not providing
the emailservice involved with your complaint.

We suggest you contact the ISP hosting the name as they may
have some clause in their Terms of Use prohibiting spam .

Alternatively please see http://www.cauce.org/ for further
information on action against spam .

regards

Melbourne IT Ltd
ACN 073 716 793
Level 2, 120 King St Melbourne 3000
Telephone +61 3 8624 2400
Fax : +61 3 9620 2250
Home page : www.melbourneit.com.au <http://www.melbourneit.com.au/>;


SPAMメールの発信元ではないがSPAMサイトの登録元だよな?
003837
垢版 |
2006/04/26(水) 11:45:43ID:L0nVm/Jx0
忘れてた。
発信元は Policy <policy@melbourneit.com.au>
0039名無しさん@お腹いっぱい。
垢版 |
2006/04/26(水) 12:59:39ID:S05w1thG0
>>39

policy@に投げたら良いんだね。
botnetらしいって事を言った方が良いよ。
そいえば、おいらが出した奴はまだ返事来てないような

004037
垢版 |
2006/04/26(水) 22:10:54ID:L0nVm/Jx0
botnet(の可能性有り)と知らしめる良い例文(英文)は無いですか?
英語にもbotnetにも疎いので、なかなか良い文章が浮かばないorz

ちなみに、>37はabuse@melbourneit.com宛に送ったレポートへの
返信なので、この↑アドレスも有効そうですね。
0041名無しさん@お腹いっぱい。
垢版 |
2006/04/27(木) 00:12:20ID:/vCL3L8O0
kolofow.comがレジストラに潰されたみたいだね。

Domain Name: KOLOFOW.COM
Registrar: TUCOWS INC.
Whois Server: whois.opensrs.net
Referral URL: http://domainhelp.tucows.com
Status: REGISTRAR-HOLD
Status: REGISTRAR-LOCK
EPP Status: clientHold
EPP Status: clientDeleteProhibited
EPP Status: clientUpdateProhibited
EPP Status: clientTransferProhibited
Updated Date: 26-Apr-2006
Creation Date: 20-Apr-2006
Expiration Date: 20-Apr-2007

botnetとは 、ウイルス、マルウエア等によるバックドアを仕掛けられた
PCによって構成されたネットワークの事。

構成ノードはIRCクライアント機能を持っていて、感染すると犯人の支配下にある
(これも不正アクセスによって作成されていることが多い)IRCサーバに
IRCボットとしてログインして指令を待つことからこの名が付けられている。

似た事例が2chでもあったりする。この場合IRCのかわりに、VIP板を使ってたわけね。

http://qb5.2ch.net/test/read.cgi/sec2chd/1144519139/l50

0042名無しさん@お腹いっぱい。
垢版 |
2006/04/27(木) 00:28:14ID:/vCL3L8O0
近年、botnetはspamの踏台とか、phishingサイトの置場に使われることが
けっこうある。

で、この話が何故botnetと思われるか。 それは関係する
ホストを逆引きしてみると世界各地のケーブルテレビ/DSL/ダイアルアップPPP
と思われるホストで、しかもDNS/WWWサーバの場合コロコロそういう
アドレスで切り替わることから推測される。

例えば>>30に挙げたアドレスなんかを逆引きすると
Name: adsl-69-235-15-225.dsl.irvnca.pacbell.net
Address: 69.235.15.225

みたいになる。

0043名無しさん@お腹いっぱい。
垢版 |
2006/04/27(木) 00:56:42ID:/vCL3L8O0
これを踏まえて、私もあまり英語得意じゃないけど。

Dear who may concern.

I'm afraid to say that one of your client is running possible botnet.
The domain is 'cormieri.com'.

There are many spam mail promoting Web sites under the domain
posted from DSL, cable or dialup network in various regions of the world.

Its DNS is served by hosts also in DSL, cable, or dialup network with
frequently change through worldwide,
and Web sites itself is served by DSL, cable or dialup, too.

I think it's common characteristic on botnet.

The www server under the domain holds dating site so-called "deai-kei",
which cause many social problem in general.

I hope you treat the issue appropriatly.

Regards.

004437
垢版 |
2006/04/27(木) 10:41:05ID:Jezlkron0
>>43
ありがとう。
早速レポートに使用させていただきました。

昨夜遅くに届いてたcormieri.comのSPAM本文中に、
書き直し忘れと思われるjason006.comの記載があった。

botnetについて勉強中。
0045名無しさん@お腹いっぱい。
垢版 |
2006/04/28(金) 02:00:17ID:kfa7hgVg0
DNS変更
例によってdonotgodown.com/ wdonnelly.comの
レジストラはTUCOWS。実際のネームサーバは
DSL回線等

Domain Name.......... cormieri.com

Name Server.......... ns1.wdonnelly.com
Name Server.......... ns2.donotgodown.com
Name Server.......... ns3.dongodown.com
Name Server.......... ns4.donotgodown.com
Name Server.......... ns5.donotgodown.com

0046名無しさん@お腹いっぱい。
垢版 |
2006/04/29(土) 11:05:55ID:58nAm1xm0
cormieri.com 復活?

Domain Name: CORMIERI.COM
Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
Whois Server: whois.melbourneit.com
Referral URL: http://www.melbourneit.com
Name Server: NS1.THOMASW1.COM
Name Server: NS3.THOMASW1.COM
Name Server: NS4.THOMASW1.COM
Name Server: NS5.THOMASW1.COM
Name Server: NS2.DONOTGODOWN.COM
Status: REGISTRAR-HOLD
Updated Date: 28-apr-2006
Creation Date: 02-apr-2006
Expiration Date: 02-apr-2007

有効そうな連絡先
policy@melbourneit.com.au
abuse@melbourneit.com

0047名無しさん@お腹いっぱい。
垢版 |
2006/04/29(土) 17:19:40ID:58nAm1xm0
こいつも復活しやがった

Domain Name: JASON006.COM
Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
Whois Server: whois.melbourneit.com
Referral URL: http://www.melbourneit.com
Name Server: NS1.THOMASW1.COM
Name Server: NS3.THOMASW1.COM
Name Server: NS4.THOMASW1.COM
Name Server: NS5.THOMASW1.COM
Name Server: NS2.DONGODOWN.COM
Status: ACTIVE
Updated Date: 27-apr-2006
Creation Date: 19-mar-2006
Expiration Date: 19-mar-2007
0048名無しさん@お腹いっぱい。
垢版 |
2006/04/30(日) 00:01:14ID:t/ArOx2F0
27日に1通来たっきり、ぴたっと止まった…
26日は10通も来たから、早々とGW休暇?
っていうか、送信日時がおかしいのが来てた。
「2005年1月27日」なんて日付になってた。
0049名無しさん@お腹いっぱい。
垢版 |
2006/04/30(日) 00:06:43ID:4pAdFe4W0
うちには山ほど来てるよ。(´・ω・`)
来すぎて来すぎて、昨日(4/29)のスパム受信数は、年来最高値を記録しますた。
ちなみにjason006のが来ている。
0050名無しさん@お腹いっぱい。
垢版 |
2006/04/30(日) 00:36:07ID:pTvTYx1d0
jason006復活したのね。
ウゼーったらありゃしない。
「broad.sx.zj.dynamic.cndata.com」ってとこを中継(?)してるのが多いね。

>>48
2005年ってのこっちも来てたよ。
0052名無しさん@お腹いっぱい。
垢版 |
2006/04/30(日) 05:58:58ID:hFER0vLy0
jason006やcormieriが届くのと同じメアドに、
同じ文字化けタイトルでnextmatch.netとかdeai-ciao.netとかr-20.comとか
love-flex.comとか届くんだけど、もしかして同じ奴?
0053名無しさん@お腹いっぱい。
垢版 |
2006/04/30(日) 18:07:38ID:Ivffqotv0
>>51
そんな感じだね。
入れ替わりのタイミングが良すぎる。
jason006からcormieriへの入れ替わりもそうだったし。
しかし、相変わらず同じレジストラかよ・・・。

>>52
ウチの届く奴と全く一緒だ。
というか、最近はコイツら以外からは全然来ない。

送ってくるタイミングや内容、発信元、発信メアドを見る限りは
同じ奴のような気がするよ。
0055名無しさん@お腹いっぱい。
垢版 |
2006/04/30(日) 18:33:34ID:JpZTriDJ0
>>52>>53

> jason006やcormieriが届くのと同じメアドに、
> 同じ文字化けタイトルでnextmatch.netとかdeai-ciao.netとかr-20.comとか
> love-flex.comとか届くんだけど、もしかして同じ奴?

うちも全く同じ傾向です。
しかし古い文章の使いまわしばかりしてくるので、晒しスレに載せらんない(苦笑)。
0056名無しさん@お腹いっぱい。
垢版 |
2006/04/30(日) 21:39:15ID:UGAjOsDA0
どうも、洋物spam業者っぽいから、botnetメイラー使って直接依頼主の
サイトに誘導するメール出してるんだろうね。
0057名無しさん@お腹いっぱい。
垢版 |
2006/05/01(月) 02:02:24ID:zYaB4aZT0
この土日(4月29日と30日)に届いたspamのうち、「jason006」と「cormieri」が含まれている割合を調べてみた。

      jason006 cormieri  計
4/29(土) 31.6%   8.0%   39.6%
4/30(日) 33.0%   0.0%   33.0%

他にも>>52-56みたいのも来ているけど、面倒くさいので数えず。
少なくとも、ここ最近のspamの、3分の1以上はコイツらってことで。
(ちなみにspam総数は両日とも1,000通超)
0059名無しさん@お腹いっぱい。
垢版 |
2006/05/01(月) 11:13:17ID:cWfjiFLN0
>>58
強力そうだね。
俺が使っているISPでも導入してくれんかなぁ。

でも、あーゆー手合いは弾くだけじゃなくて叩き潰したい。
ブロックリストで弾くと同時に管理者(レジストラ等)に
クレームレポートを自動送信してくれるシステムが理想かな。
出来れば本文も自動的に英訳してくれれば言うことなし。
0060名無しさん@お腹いっぱい。
垢版 |
2006/05/01(月) 11:35:07ID:vo+JTIDk0
>>49
マジですか?
30日にtp://bghh.myZ.info/power-loves/index.htmlってURL付のメールが1通来たけど、
多分ジェイソンとは別物。
メール鯖のほうで弾いてるのかと思ったけど、フリーメールだし、どこにもそれらしきことは書いてないから
違う気がする。
006149
垢版 |
2006/05/02(火) 01:57:07ID:+FGKGdLs0
>>60
マジです。(´・ω・`)

>>52のようなnextmatch.netとかdeai-ciao.netとかr-20.comとかの文字化けも含めると、
半分かそれ以上はコイツ等のスパムだったよー。
0062名無しさん@お腹いっぱい。
垢版 |
2006/05/02(火) 21:42:01ID:GArxqs5y0
jason006.comレジストラに潰されたみたいだね。
でもまだメール来てる。
0065名無しさん@お腹いっぱい。
垢版 |
2006/05/03(水) 08:24:35ID:Qpp3Qm9g0
deai-ciao.netってonamae.comだけどおおもとはGMOだっけか。
GMOといえば前身(名前忘れた)からSPAM容認だよなぁ。
ここもレジストラベースで潰して欲しい
0067名無しさん@お腹いっぱい。
垢版 |
2006/05/04(木) 13:47:23ID:/6EDFS710
同じアドレスに、こんなに多量にスパム送って宣伝になるのか不思議。
ウザがられるだけのような。あまり目立つと、潰しにかかってくる人間が出るって
意味でも良くないだろうに。色んな意味で理解出来ない。
0070名無しさん@お腹いっぱい。
垢版 |
2006/05/04(木) 18:45:22ID:3Axq0Tio0
>>69
その時はヘッダがムチャクチャじゃない?

> Received: from -%RNDLCCHAR13%RNDDIGIT13..yahoo.com (80.116.40.56)
> by %RNDLCCHAR13%RNDDIGIT13-%RNDLCCHAR13%RNDDIGIT13.yahoo.com
> with Microsoft SMTPSVC(5.0.2195.6824);

とか。
0071ほしさん
垢版 |
2006/05/05(金) 13:33:52ID:oQOF+HZT0
今日来たスパムのリンクからソースを解析

http://parson.jason006.com/a18/ からは
href="http://melon.x07.jp/pc/regist.php?0m72-c1"
href="http://www.koitama.net/man/index.html?qs=bmr"
href="http://web.lgmwa.jp/ad.php/ksm004"
の3個のリンクを発見できたが、
http://talcum.jason006.com/a18/ からはソースを表示できなかった。

どこかに良いソース表示ソフト有りませんか?
0072名無しさん@お腹いっぱい。
垢版 |
2006/05/05(金) 13:42:51ID:2B6t7IF40
>>71
ん?ソース表示できたよ。
リンク先は71と同じだった(3つとも)。

なんで表示できなかったのかわからないけど(リモートサーバが見つからなかったんじゃないよね)、定番は、
 ・JavaScriptを切る
 ・Javaを切る
 ・Active-Xを切る
 ・IE以外を使う
このあたりでどうかな。
0073ほしさん
垢版 |
2006/05/05(金) 13:54:28ID:oQOF+HZT0
>>72
どうも、お世話になります。
IEで開くのは危ないので、notepadで開いてます。
方法はファイル、開くでファイル名の所にURLを貼り付ける方法で
ソースを見てます。
前はview-source で見てたんですけど
XPにしてから見れなくなってしまったので、、、
IE以外では何が亜すすめですか?
0074ほしさん
垢版 |
2006/05/05(金) 13:56:07ID:oQOF+HZT0
亜すすめじゃやなくて、おすすめでした
0075名無しさん@お腹いっぱい。
垢版 |
2006/05/05(金) 14:21:58ID:2B6t7IF40
普段のサイト閲覧用と、怪しげサイト訪問用を、ブラウザを分けるといいかも。
(怪しげサイトはJavaScriptとかを全て切っておく)
いちいち同一ブラウザで設定を切り替えるのは面倒くさいので。

・Firefox
http://www.GetFirefox.jp/

・Opera
http://jp.opera.com/

《おまけ》
melon.x07.jp ⇒ 202.229.221.134 ←→ st0102.nas941.n-yokohama.nttpc.ne.jp
www.koitama.net ⇒ 125.102.50.115 ←→ sv01.koitama.net (有限会社デイライフ/株式会社ユーズコミュニケーションズ)
web.lgmwa.jp ⇒ 59.106.20.212 (さくらインターネット株式会社)

x07.jp (エムエムエス企画/GMOインターネット株式会社)
koitama.net (GMO Internet, Inc.)
lgmwa.jp (yuko suzuki)
0076名無しさん@お腹いっぱい。
垢版 |
2006/05/06(土) 00:47:23ID:DTHhsmZj0
5月5日0時〜24時の24時間に届いたjason006系spamのうち、件名が
Subject: @スィ゚イオナキゥH
の24通について調べてみた。(全てを調べるには量が多すぎるので)

まず宣伝サイトで圧倒的に多いのが jason006 だが、以下のように(24通中)7ドメインあった。
(jason006とcormieriは、サブドメインのバリエーションが多いので1つだけ掲載)

ttp://bugging.jason006.com/a21/
ttp://burlington.cormieri.com/a10/
ttp://ad.love-meets.com/?kiadc
ttp://ad.deai-ciao.net/?kiadd
ttp://lovelief.com/sfx/index.html?media=pc343
ttp://nextmatch.net/index.html?media=pc343
ttp://r--20.com/r20/index.html?media=pc343

そして、本文のバリエーションが、思ったよりも多い(ダブりが少ない)のに驚いた。
いちいち本文は引用できないので、前半の方の1行をそれぞれ抜き出したら19通りあった。
すなわち、ダブりはたった(24通中)5通ということ。

◇◆   ◆彼女が出来る◆セフレが出来る◆友達が出来る◆ ◇◆

 ┌──┐。∵☆  (≡^∇^≡)ニャハハ ≫≫≫    ◆乱れてみたい♪

・*:.。.:*・愛すべき人がいるからこそ頑張れる・*:.。.:*・゜

★たった5分で始められる★【大人の割り切りニュース】

☆  優良完全無料出会いサイトのご案内  ☆

   ※ 女性の質と年収1000万円以上に拘った登録女性 ※

サイトには2名の女性を掲載してあります。

    □ 20代バツイチ女性がターゲットです。□

私は30代のごく普通のサラリーマンです。日々の生活がマンネリ化して、

  †完全無料で即アポ、即ハメ当たり前♪割り切り、淫乱妻多数登録中†

  ☆  素人100%宣言! 過去最強の完全無料サイト   

OL・フリーター・看護師・介護師・モデル・バスガイド・人妻etc

    ┃貴┃方┃に┃自┃慢┃の┃親┃友┃を┃ご┃紹┃介┃♪

す┃べ┃て┃が┃無┃料┃!┃完┃全┃無┃料┃サ┃イ┃ト┃

    ┃S┃E┃X┃フ┃レ┃ン┃ド┃作┃り┃放┃題┃サ┃イ┃ト

┏┛■ ┃完┃全┃無┃料┃H┃好┃き┃人┃妻┃サ┃イ┃ト┃■┃

H┃な┃若┃奥┃さ┃ん┃を┃抱┃い┃て┃み┃ま┃せ┃ん┃か┃?┃

■■■■      セ┃フ┃レ┃ッ┃ク┃ ス┃            ■

■■■■ 30代の女性を無料で狙う☆出会い継続
0078名無しさん@お腹いっぱい。
垢版 |
2006/05/06(土) 20:17:20ID:s0fvzYs60
ここ数日、jason006から一日10通近く着弾してるよ・・
つーか、こんな大量に送りつけられてくるメールを見て登録する奴なんているのか?
送信元も題名もわけの分からん文字の羅列だし。
普通に怪しいだろ。
いかにしてメールを着弾させるかばかり考えていて、いかに騙すかっていう本来の目的を
忘れてんじゃないの。頭おかしいよ、こいつら。
0079名無しさん@お腹いっぱい。
垢版 |
2006/05/06(土) 22:18:06ID:pLcNoHAl0
>78
完全に同意。
まさしく↓で書かれてる「スパム脳」だよなこいつら。
ttp://ririca.net/spambrain.html
0081名無しさん@お腹いっぱい。
垢版 |
2006/05/07(日) 01:55:35ID:6jXYr6bU0
JavaScriptとかを切って、さらに串(取得ソフトで取ったばかりのやつ)刺してアクセスしてみたがページが開かない。
0085名無しさん@お腹いっぱい。
垢版 |
2006/05/07(日) 16:22:56ID:V/UUhxig0
Domain Name: JASON006.COM
Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
Whois Server: whois.melbourneit.com
Referral URL: http://www.melbourneit.com
Name Server: NO NAMESERVER
Status: No status
EPP Status: No status
Updated Date: 28-Apr-2006
Creation Date: 18-Mar-2006
Expiration Date: 18-Mar-2007

動きがあったみたい。こっちも変わってるみたいだけど
Name Server.......... ns1.victorano.com
Name Server.......... ns2.victorano.com
Name Server.......... ns3.victorano.com
Name Server.......... ns4.victorano.com
Name Server.......... ns5.victorano.com
0086名無しさん@お腹いっぱい。
垢版 |
2006/05/07(日) 16:35:04ID:OZbK2ouJ0
jason006.comドメイン復活してます。
ドメイン利用停止依頼したいのですが、
jason006.comのレジストラはどこなのでしょうか?
0088名無しさん@お腹いっぱい。
垢版 |
2006/05/07(日) 23:10:32ID:1ZjZ65rz0
やっと今日、じぇーそんspamのページにアクセスできた。
ソース見て調べたら先のページはNTTPCと出た。
0090名無しさん@お腹いっぱい。
垢版 |
2006/05/10(水) 00:23:58ID:K073+PX10
jason006やっと
Status: REGISTRAR-HOLD
EPP Status: clientHold
Updated Date: 08-May-2006
Creation Date: 18-Mar-2006
Expiration Date: 18-Mar-2007

0096名無しさん@お腹いっぱい。
垢版 |
2006/05/10(水) 20:30:03ID:8LFGDmcX0
Received: from *************** ([220.199.14.92])
From: "メ Eセ" <heartbeat419@************>
Reply-To: "メ Eセ" <heartbeat419@************>
Subject: アソヘ
Date: Wed, 10 May 2006 13:16:59 +0400
X-Mailer: AOL 4.0 for Windows US sub 655
Content-Transfer-Encoding: base64

  ●∞∞━━━━━━━━━━━━━━━━━━━━━━∞∞●
   ※ 女性の質と年収1000万円以上に拘った登録女性 ※
     ┏━━━━━━━━━━━━━━━━━━━━┓
     ●*セレブとの出会い★男性のみ完全無料!*●
     ┗━━━━━━━━━━━━━━━━━━━━┛
   ※ 逆援助★割り切った恋★セックスパートナー★etc ※
  ●∞∞━━━━━━━━━━━━━━━━━━━━━━∞∞●

男性無料登録⇒ ttp://porto.jason006.com/a14/

(以下省略)
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況