Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)



Contents

特徴

 この項には以下の特徴をもつspam/メールアドレス収集Crawlerを分類して放り込んでいます。

情報

 この項で取り上げたUserAgent、Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) はその筋で良く使われているメールアドレス収集Crawler(若しくはTool)であるようです。以前活発にspam行為を行っていたロリムトー系や株式会社 全信協系のspamerが用いていた物の特徴でもあったそうです。又、地味に流行っているとされるqsv系のspamerの特徴でもあるそうです。

[ページトップへ]

分析

 以下のspamデータは全て同一団体/人物によるものと思われます。メールアドレスの収集は日本で行っているにもかかわらず、spam送信は中国のREMOTE_ADDRから行っているのが不可解です。又、メールアドレス収集CrawlerのHTTPリクエストの特徴は以下の通りです。

[ページトップへ]

spamデータ

管理人に関するメールアドレスはexample.com/example.net/example.orgで代用しています。

2006/08/30-01

罠アドレスのアカウント部

m2n200603292148s

mailtoタグ + 生のメールアドレス(2006/03/29 21:48)、Site識別コードs

該当日のアクセス情報

p4080-ipbf705marunouchi.tokyo.ocn.ne.jp - - [29/Mar/2006:21:48:27 +0900] "GET / HTTP/1.0" 200 1039 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

spamのメールヘッダ

既出の物とほぼ同一な為、省略。
送信者のIPは222.168.138.248

[ページトップへ]

2006/08/28-02

罠アドレスのアカウント部

m2n200603250659w

mailtoタグ + 生のメールアドレス(2006/03/25 06:59)、Site識別コードw

該当日のアクセス情報

p2064-ipbf513marunouchi.tokyo.ocn.ne.jp - - [25/Mar/2006:06:59:27 +0900] "GET / HTTP/1.0" 200 1039 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

spamのメールヘッダ

Return-Path: <hitomi24@so-net.ne.jp> ←恐らく偽装
------------------
受信メールサーバ内処理につき省略
------------------
Received: from unknown (HELO so-net.ne.jp) (222.170.54.136) ←自称とIPが一致しない(この行は受信サーバの記録の為信用可)
 by 192.168.1.12 with SMTP; 29 Aug 2006 02:29:30 +0900
Received: from tvij2 (unknown [130.169.252.185]) ←恐らく偽装
  by smtp51 (Coremail) with SMTP id Ad5RJboVzzmKUhvv.1
  for <m2n200603250659w@example.net>; Tue, 29 Aug 2006 01:29:36 +0800 (CST)
X-Originating-IP: [130.169.252.185] ←恐らく偽装
Subject: 処女に興味があれば是非!
From: =?gb2312?B?k7U=?= <hitomi24@so-net.ne.jp> ←恐らく偽装
To: <m2n200603250659w@example.net>
X-Mailer: Microsoft Outlook Express 6.00.2800.1478
MIME-Version: 1.0
Content-Type: multipart/alternative;
  boundary="----=_NextPart_000_0007_01C6CAB9.BA3E8DA0"
X-Priority: 3
X-MSMail-Priority: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Message-Id: <20060828172931.5BC8549DEF7F@mx2.example.org>
Date: Mon, 28 Aug 2006 17:29:31 +0000 (UTC)

This is a multi-part message in MIME format.

------=_NextPart_000_0007_01C6CAB9.BA3E8DA0
Content-Type: text/plain;
charset="iso-2022-jp"
Content-Transfer-Encoding: 7bit

 最初のReceivedヘッダは受信メールサーバが記録した物なので信頼可能。送信元である"222.170.54.136"は中国のIP。
 2番目のReceivedヘッダは、送信元か送信元からの経路で付加された物である為信用出来ない。偽装ヘッダの可能性がかなり高い(次にあるX-Originating-IP:ヘッダも偽装の一環と思われる)。

[ページトップへ]

2006/08/28-01

罠アドレスのアカウント部

m2n200606011316w

mailtoタグ + 生のメールアドレス(2006/06/01 13:16)、Site識別コードw

該当日のアクセス情報

p5201-ipbf504marunouchi.tokyo.ocn.ne.jp - - [01/Jun/2006:13:16:26 +0900] "GET / HTTP/1.0" 200 1039 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

spamのメールヘッダ

Return-Path: <kaholovemail235@ocn.ne.jp> ←恐らく偽装
------------------
受信メールサーバ内処理につき省略
------------------
Received: from unknown (HELO so-net.ne.jp) (218.7.192.205) ←自称とIPが一致しない(この行は受信サーバの記録の為信用可)
 by 192.168.1.12 with SMTP; 28 Aug 2006 23:22:25 +0900
Received: from lwnzy6 (unknown [149.211.192.121])
  by smtp93 (Coremail) with SMTP id 7AL4BZwLpsg42O0c.1
  for <m2n200606011316w@example.net>; Mon, 28 Aug 2006 22:22:07 +0800 (CST)
X-Originating-IP: [149.211.192.121] ←恐らく偽装
Subject: タダでボッキンキン!!なサイト
From: lala <kaholovemail235@ocn.ne.jp> ←恐らく偽装
To: <m2n200606011316w@example.net>
X-Mailer: Microsoft Outlook Express 6.00.2800.1478
MIME-Version: 1.0
Content-Type: text/plain;
  charset="iso-2022-jp";
  reply-type=original
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2962
Message-Id: <20060828142226.BEDB04932302@mx2.example.org>
Date: Mon, 28 Aug 2006 14:22:26 +0000 (UTC)

 最初のReceivedヘッダは受信メールサーバが記録した物なので信頼可能。送信元である"218.7.192.205"は中国のIP。
 2番目のReceivedヘッダは、送信元か送信元からの経路で付加された物である為信用出来ない。偽装ヘッダの可能性がかなり高い(次にあるX-Originating-IP:ヘッダも偽装の一環と思われる)。

[ページトップへ]

2006/07/30-01

m2n200603292148s

mailtoタグ + 生のメールアドレス(2006/03/29 21:48)、Site識別コードs

該当日のアクセス情報

p4080-ipbf705marunouchi.tokyo.ocn.ne.jp - - [29/Mar/2006:21:48:18 +0900] "GET / HTTP/1.0" 200 5676 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

spamのメールヘッダ

Return-Path: <orion@dm.mailpia.net>
------------------
受信メールサーバ内処理につき省略
------------------
Received: from unknown (HELO m10.mailyes.net) (125.187.32.172)
 by 192.168.1.12 with SMTP; 30 Jul 2006 08:15:06 +0900
Received: (qmail 20123 invoked by uid 0); 30 Jul 2006 08:12:46 +0900
Message-ID: <20060729231246.20122.qmail@m10.mailyes.net>
To: m2n200603292148s <m2n200603292148s@example.net>
Subject: 遂にきた!北斗
の拳SE攻略法!!!
From: tiba akiko <orion@dm.mailpia.net>
Reply-To: delivery_rt <orion@dm.mailpia.net>
Date: 2006-07-30 08:10:02
Content-type: text/plain; charset= ISO-2022-JP
X-Mailer: NEXTism Mailer 1.0
X-Priority: 1
Content-Transfer-Encoding: 7bit
MIME-Version: 1.0
X-Keywords: 20060729204116_cbao
Mime-Version: 1.0

これは一番古いデータですが、それ以後のものとは多少傾向が異なります。以降では自前でSMTPを動かしているように思われますが、此方は既存のメールサーバを使用しているようです(REMOTE_ADDRも中国ではなく韓国の物)。

[ページトップへ]
雪の結晶(1KB)
[spam関連に戻る]


Mut!