(元)うつ病患者の独り言 for はてなブログ

★ここ(はてなブログ)は、自身のポータル(自己紹介、リンク集)および、はてなダイアリー過去掲載分保管用に運用しています。通常のつぶやきはX(Twitter)及びタイッツーをどうぞ。 ※ブログコメントは無効にしています。反応はX(Twitter)またははてなブックマークでお願いします。

今日のspam

Spam

最近、CNNを初め正規の報道機関等を詐称して、不正プログラムをダウンロードさせようとする迷惑メールが増加しています。
その新手と想われるメールが昨晩から来ていますので、2件曝してみます。
 
・8/17追記:トレンドマイクロより情報が出ています。

(ウイルス解析担当者ブログ:http://blog.trendmicro.co.jp/archives/1640)【8/15】

  • スパムメール経由で侵入する偽セキュリティソフトの被害が増加中

(ウイルス解析担当者ブログ:http://blog.trendmicro.co.jp/archives/1657)【8/16】
 
spam対策のため、メールアドレスやURLは一部伏せます)

  • その1

Received: from [201.232.84.244] ([201.232.84.244])
by asm2.tnc.ne.jp ([218.219.15.244])
with ESMTP id 2008081407:28:16:427841.25338.2485
for 【僕のメールアドレス】
Thu, 14 Aug 2008 07:28:15 +0900 (JST)
thread-index: e23a4f19a4b4d8c50113c24b53466b==
Thread-Topic: msnbc.com - BREAKING NEWS: Freddie Mac loses $1B
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.3119
Message-ID: <000e0○○○d7990$f454e8c9@FELIPE>
Date: Wed, 13 Aug 2008 17:28:16 -0500
Reply-To: MSNBC Breaking News
From: MSNBC Breaking News
Subject: msnbc.com - BREAKING NEWS: Freddie Mac loses $1B
To: 【僕のメールアドレス】
Precedence: list
X-TERRACE-SPAMMARK: YES-bayesian (SR:-17.25)
(SRN:spamrobot) -----------------
 
(以下、HTMLメールをテキスト表示)
 








msnbc.com: BREAKING NEWS: Freddie Mac loses $1B


Find out more at http://breakingnews.msnbc.com(注釈:ここのリンクが偽装されています)



======================================================

See the top news of the day at MSNBC.com, and the latest from Today Show and NBC Nightly News.



=========================================

This e-mail is never sent unsolicited. You have received this MSNBC Breaking News Newsletter

newsletter because you subscribed to it or, someone forwarded it to you.




To remove yourself from the list (or to add yourself to the list if this

message was forwarded to you) simply go to




http://www.msnbc.msn.com/id/77780836, select unsubscribe, enter the

email address receiving this message, and click the Go button.




Microsoft Corporation - One Microsoft Way - Redmond, WA 98052

MSN PRIVACY STATEMENT

http://privacy.msn.com (http://privacy.msn.com/>)

  • メール内URL調査結果(一番最初に表示されるURLで、見かけの表示URL)

(aguse.jp:http://www.aguse.jp/?m=w&url=http%3A%2F%2Fbreakingnews.msnbc.com&x=64&y=8

  • メール内URL調査結果(一番最初に表示されるURLで、実際の表示URL)

(aguse.jp:http://www.aguse.jp/?m=w&url=http%3A%2F%2Fmicronmetals.com%2Fmsn.html&x=73&y=12

  • メールヘッダ調査結果

(aguse.jp:http://www.aguse.jp/?m=m&id=79692326d252940652322a151099f525007febeb%2F1f1ae67821495ea63de58f2ca3f0537bd4920224

・見かけの表示URLサーバはアメリカで、「MSNBC.com」というMicrosoftの正規ニュースサイトです。

・実際の表示URLサーバはアメリカですが、「MSNBC.com」とは全く別のサイトで、ブラックリスト入りしています。FlashPlayerのダウンロードを促す画面が表示されるので、FlashPlayer偽装の不正プログラムの可能性が非常に高いです。

・メール送信元はコロンビアで、こちらもブラックリスト入りしています。
・この「Subject: msnbc.com - BREAKING NEWS:〜〜〜」の件名spamは、僕のところに昨晩から7通届いています。

  • その2

Received: from [190.10.71.50] ([190.10.71.50])
by asm1.tnc.ne.jp ([218.219.15.243])
with ESMTP id 2008081406:25:43:674512.29616.5602
for 【僕のメールアドレス】
Thu, 14 Aug 2008 06:25:42 +0900 (JST)
Return-Path:
Received: from 72.14.9.254 (HELO mx01.fastfreedom.net)
by tokai.or.jp with esmtp ({nChar[8-12]} {nChar[4-6]})
id 6fi0gg-iJRXsw-bO
for zrd47954@tokai.or.jp; Wed, 13 Aug 2008 15:25:46 -0600
Message-ID: <153cc○○○$7f000001@Warren>
From: "Warren Cruz"
To: "Chester Marshall" 【僕のメールアドレス】
Subject: BBC NEWS
Date: Wed, 13 Aug 2008 15:25:46 -0600
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_86986_15434_01C8FD58.DB735FE0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-TERRACE-SPAMMARK: YES-Spam_Category:ETC (SR:0.00)
(SRN:BAD_Format:FAKE_MSOE11) -----------------
 
This is a multi-part message in MIME format.
 
 ------=_NextPart_86986_15434_01C8FD58.DB735FE0
Content-Type: text/plain;
charset="iso-8859-2"
Content-Transfer-Encoding: quoted-printable
 
Jessica Alba Sweet Pu$$\/
http://quiz○○○line=2Ede/newfolder/update=2Ephp
 ------=_NextPart_86986_15434_01C8FD58.DB735FE0
Content-Type: text/html;
charset="iso-8859-2"
Content-Transfer-Encoding: quoted-printable
 
(以下、HTMLメールをテキスト表示)
 





Jessica Alba Sweet Pu$$\/

 ------=_NextPart_86986_15434_01C8FD58.DB735FE0--

  • メール内URL調査結果

(aguse.jp:http://www.aguse.jp/?m=w&url=http%3A%2F%2Fquizzen-online.de%2Fnewfolder%2Fupdate.php&retry.x=74&retry.y=7

  • メールヘッダ調査結果

(aguse.jp:http://www.aguse.jp/?m=m&id=79692326d252940652322a151099f525007febeb%2F46a12432d787b1f74b38abab5a500ace7241c3ac

・表示URLサーバはドイツですが、URLは存在していませんでした。今のところは不正プログラムは仕掛けられていないようです。
・また件名は「BBC NEWS」ですが、本家BBC英国放送協会)(http://www.bbc.co.uk/)との関係は見つけられません。

・メール送信元はコスタリカで偽装の形跡があります。ブラックリスト入りしています。

・この「Subject: BBC NEWS」の件名spamは、僕のところに昨晩から3通届いています。