« ライトセーバーを振り回すペット達 | トップページ | 風船から見える風景 »

2009/09/25

Twitterにやってくるスパマー達について

ブックマークに追加する
最近、Twitterのダイレクトメッセージでマルウェア付きリンクを送ってくるスパマーの話を聞いていたが、リプライ(@_username_ 関連のつぶやきと表示されているページ)で同様なマルウェア付きリンクを送ってくるスパマーに初めて遭遇した。

で、このスパマーについて、注意喚起および晒し者にするため、ちょっと調べてみた。

添付されていたリンクについて、ブラウザではなく、wgetを使ってみたところ


注意)以下のURLはブラウザで直接見てはいけない。
$ wget -S http://tinyurl.com/mxgwur
--21:34:45--  http://tinyurl.com/mxgwur
           => `mxgwur'
tinyurl.com をDNSに問いあわせています... 85.255.210.134
tinyurl.com|85.255.210.134|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています...
  HTTP/1.0 301 Moved Permanently
  Location: http://is.gd/3C7Fh?b0fdefb2-5f05-4fcc-9340-625f7e4b9ec4

短縮URLサービスのtinyurlから別の短縮URLサービスである、is.gdへの301リダイレクトになっている。

で、このis.gdのリンクをさらにトレースすると
場所: http://is.gd/3C7Fh?b0fdefb2-5f05-4fcc-9340-625f7e4b9ec4 [続く]
--21:34:46--  http://is.gd/3C7Fh?b0fdefb2-5f05-4fcc-9340-625f7e4b9ec4
           => `3C7Fh@b0fdefb2-5f05-4fcc-9340-625f7e4b9ec4'
is.gd をDNSに問いあわせています... 78.31.109.147
is.gd|78.31.109.147|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています...
  HTTP/1.0 301 Moved Permanently
  X-Powered-By: PHP/5.2.6
  Location: http://top-here.com/
.....(途中略).....
場所: http://top-here.com/ [続く]
--21:34:47--  http://top-here.com/
           => `index.html'
top-here.com をDNSに問いあわせています... 93.113.27.110
top-here.com|93.113.27.110|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています...
  HTTP/1.1 200 OK
.....(以下略)

このtop-here.comへの301リダイレクトの結果が最終的なページとなっている。
ここで取得できたファイルの拡張子を.htmlから.txtに変更してから中身を見ると、見るからに怪しいiframeが含まれており、そこには同じホストにある「trackit.php」というファイルを呼び出している。
このphpファイル何か胡散臭いことを実行しているようであるが、wgetやcurlでUser-Agentおよびリファラを設定してダウンロードを試みても取得結果が0byteとなるので、Cookieと合わさって初めて何か悪意のあるマルウェアをダウンロードするのかもしれない。




ここで、top-here.comの名前解決結果は「93.113.27.110」であるが、このIPアドレスを調べてみると
inetnum:        93.113.27.0 - 93.113.27.255
netname:        PF-MAXIM-ANCA
descr:          PF Maxim Anca
descr:          Strada Mendeleev D.I. nr. 17-31
descr:          Bucuresti Sector1
country:        ro

ルーマニア(ISOコード「ro」)のネットワークらしい。

さらに、問題のドメインを調べてみると

[whois.bizcn.com]

Domain name: top-here.com
Registrant Contact:
   davedzhang
   zhang daved web@58ym.com
   86-28558678864 fax: 86-28558678864
   wuxueshichenghelu89hao
   Wuxue Hubei 451232
   cn

ドメイン名のレジストラは中国...

なお、top-here.comのindex.htmlに含まれていたホストは全てルーマニアのネットワークにホストされているが、ドメイン名のレジストラは全て中国...


なお、今回このリンクを送付してきたスパマーに対しては

  • tweetblocker.comにスパム報告
  • twitterが運用してる@spam宛にもスパム通報
  • 該当のスパムアカウント「@VickeyBurnsnol」はブロック

の対処を行った。

いずれにせよ、見知らぬアカウントから勝手に送付されるリンクはクリックしてはいけないとの見本のような事例だった。

●お探し物は見つかりましたか?まだの方は以下の検索をご利用下さい。
 
当ブログ内 (within this blog) Web
●当ブログのRSSフィードをお手持ちのRSSリーダーにご登録いただくと、エントリ追加時のみ更新通知が届くため、確認の手間が省けます。よろしければ、どうぞ。
当ブログのRSSフィード
●当ブログの更新情報+α(deliciousのブックマーク他)はTwitter経由でも確認できます。是非フォローしてください。(実はRSSフィードよりも更新が早かったりします)

|

Spam系」カテゴリの記事

blog comments powered by Disqus


●Google広告


●その他の広告



トラックバック

この記事のトラックバックURL:

●トラックバックされる方へのご注意
本文中でこのエントリのアドレスを引用してください。引用(言及リンク)がない場合はスパム(迷惑行為)として削除します。
なお、迷惑行為かどうかを人力で判定しているため、トラックバックが反映されるまでに少々、お時間を頂いています。
For foreigners: If you would like to trackback to this entry, please include permlink of this entry in your entry. If your entry doesn't include this permlink, I will delete your trackback as spam.

この記事へのトラックバック一覧です: Twitterにやってくるスパマー達について:

 
Google