寄生虫スパマー


 
 
2011年12月6日 (火曜日)
 
 
寄生虫スパマー
 
 

デンマンさん、オイラをお呼びですか?

この辺にはオマエしか居ないだろう!

デンマンさん、この記事を読んでいる読者がデンマンさんの目の前に居るではありませんか! 忘れないでくださいよ。

あのなァ~、僕はこの記事に読者を巻き込みたくないんだよ。 第一、読者は、この記事のタイトルとは全く関係ないんだよ。

つまり、オイラが寄生虫スパマーだとデンマンさんは断定なさるのですか?

もちろんだよ!

どうして、それ程までに確固とした自信を持ってオイラが寄生虫スパマーだと決め付けるのですか?

だってぇ、オマエは愚かなスパムメールを送信したのだよ。

あれっ。。。デンマンさんはオイラがスパムメールを書いたとどうして分かるのですか!?

あのなァ~、オマエが出したスパムメールが受信者不明で戻ってきたのだよ。

デンマンさん…、何ですか、これは。。。?

何ですかってぇ、僕のメールボックスの受信リストだよ。

それがどうだと言うのですか?

青色の帯を見てごらんよ。

“Undeliverable mail” と書いてありますね。 これがオイラが出したスパムメールだと、デンマンさんは言うのですか?

そうだよ。 そのメールを見せるから、じっくりと見たらいいよ。

つまり、このメールをオイラが出したと言うのですか? その証拠でもあるのですか?

あるよ。 僕はこんなメールを出したことがない! 一つのメールを幾人もの人に宛てて書いた事は、これまでに一度もないのだよ! 馬鹿バカしい! 次の詳細を見ろよ!

Return-Path:
Received: from UTMC1104.kddi.com
(athena.kddi.com [210.141.112.39])
by main-df05.r1000.mx.aol.com (Internet Inbound)
with ESMTP id E59FC380000B5
for barclay1720@aol.com;
Fri, 2 Dec 2011 04:07:00 -0500 (EST)

Received: from UTMC1133
(unknown [10.5.16.198])
by UTMC1104.kddi.com (Postfix)
with SMTP id ED9E629B3
for barclay1720@aol.com;
Fri, 2 Dec 2011 18:06:58 +0900 (JST)

Received: from UTMC1118.kddi.com
(unknown [10.5.16.33])
by UTMC1123.kddi.com (Postfix)
with ESMTP id 8D74918DA
for barclay1720@aol.com;
Fri, 2 Dec 2011 18:06:51 +0900 (JST)

Received: by UTMC1118.kddi.com;
Fri, 2 Dec 2011 18:06:51 +0900

Message-Id:
iss.83bcd309.4de1.4ed8952b.8a8fa.77@UTMC1118.kddi.com
Date: Fri, 2 Dec 2011 18:06:51 +0900

From: Postmaster@UTMC1118.kddi.com

To: barclay1720@aol.com

Subject: Undeliverable mail
MIME-Version: 1.0
Content-Type:
multipart/report;
report-type=delivery-status;
boundary=”=_mh.ndn.4de1.4ed8952b_=”

X-WAuditID: 1112021806510000322784
x-aol-global-disposition: G
X-AOL-VSS-INFO: 5400.1158/76576
X-AOL-VSS-CODE: clean
x-aol-sid: 3039ac1d40d94ed895346e1a
X-AOL-IP: 210.141.112.39

この上の記録のどこにオイラの足跡が残っているのですか?

赤字にした部分だよ。 調べたら次のような事が分かった。

IPアドレス: 10.5.16.198

IPアドレス: 10.5.16.33

IPアドレス割当国 アメリカ合衆国 ( us )

NetRange: 10.0.0.0 – 10.255.255.255

OrgName:
Internet Assigned Numbers Authority

Address:
4676 Admiralty Way, Suite 330
Marina del Rey
CA, USA

PostalCode: 90292-6695

Phone: +1-310-301-5820
e-mail: abuse@iana.org

これがオマエのプロバイダーだよ。 あのなァ~、調べてみたらネットでも晒されているよ!

ここで晒されているのがオイラだと、デンマンさんは言うのですか?

覚えがあるだろう? しかもこれだけじゃないのだよ。 オマエは、止せばいいのにスパムメールを送信するマルウェアを使って僕のアドレスを盗み、次のように、たくさんのスパムメールをばらまいた。

これは犯罪なんだよ。

犯罪になるのですか?

犯罪じゃないか! 僕のメールアドレスを使って、僕のアドレス帳に書いてある友達や、知人や、お客さんのアドレスを盗んで使ってスパムメールを送りつけている。

マジで。。。?

しらばっくれるなよ! オマエは僕のアドレス帳から止せばいいのに太田(masahiro ota)さんにまでスパムメールを送りつけた。 見ろよ!

あのなァ~。。。僕と太田さんとは絶交状態なんだよ。 このようなスパムメールを受け取ったら、まず間違いなく太田さんはムカつくよ!

マジで。。。?

もちろんだよ! でもなァ、太田さんは、オマエのように愚か者じゃないから、僕が出したのではない事をすぐに見抜くことができる。

どうして。。。?

太田さんはコンピューター業界での経験が30年以上もあるんだよ。 だから、オマエのような愚かな寄生虫スパマーが居る事をちゃんと知っている。

マジで。。。?

だってぇ、そうだろう!? 5年近い絶交状態から、急に上のような愚かなメールを僕が送るはずがないじゃないか! メールの下らない文章を読めば太田さんにもすぐに分かる!

あれっ。。。デンマンさんは上のメールを晒してオイラを馬鹿にするのですか?

バカにする訳じゃないけれど、誰が読んでも愚かな文章だと言うことが一目瞭然なんだよ!

マジで。。。。?

オマエには、その程度の事も分からないの?

だってぇ、簡潔で要領を得た文章だと思いますよ。。。うへへへへへ。。。

あのなァ~。。。だから、オマエは愚か者だと言うのだよ! How is it going? のあとに次の URL を書いている。

http://damansaraassets.com.my/index721m–.php?avotcamp=78

これではスパムメールだと言うのが見え見えじゃないか!

そうでしょうか?

オマエが悪賢いのは、相手を信用させるために受取人の知り合いを、つまり、この場合僕のメールアドレスを盗んで使っている。 しかも、受取人のメールアドレスは僕のメールアドレス帳から盗んでいる。

分かりますか? うへへへへへ。。。

しかも、上のURLをクリックすっると、とんでもないサイトに誘導する。

とんでもないサイトってどのサイトですか?

次のサイトに誘導するのだよ。

デンマンさんは、上の URL をクリックしてみたのですか?

そうだよ。。。オマエがどのような悪い事をしようとしているのか見極めるためだよ。。。

。。。で、見極めましたか?

見極めたよ。。。大体、僕のコンピューターを検出する前に、上のメッセージが出てくる。 これじゃあ、すぐにマルウェアを僕のパソコンに仕込むために僕のパソコンにアクセスしようとしているのが見え見えじゃないか!

やっぱり、分かりますか? うへへへへへ。。。

オマエのホスト名を調べたら次のような事が分かった。

ホスト名:

damansaraassets.com.my

IPアドレス: 119.110.102.229
IPアドレス割当国 マレーシア ( my )

プロバイダー: TM-VADS-DC
inetnum: 119.110.96.0 – 119.110.111.254
status: ALLOCATED NON-PORTABLE
notify: idc@vads.com
 
person: Mohd Sobri Salamon
address: TM IT Complex
country: MY

phone: +603-83184634
e-mail: idc@netmyne.com
abuse-mail: abuse@netmyne.com

マレーシアのプロバイダーを使っている。 でも、上の URL から次の URL に自動的に転送している。

ホスト名: update56.bronsil.in

IPアドレス: 94.61.247.181
IPアドレス割当国 欧州連合 ( eu )

プロバイダー: MONYSON-GRUP
inetnum: 94.61.247.0 – 94.61.247.255

person: Marius Paninopol
address:
Str Vatra Luminoasa Nr. 60
Bucuresti, Sector 2
RO (Romania)

phone: +40726726672
e-mail: office@monyson.ro

route: 94.60.0.0/14
descr: iLink Telecom
origin: AS30890

Abuse reports: abuse@ilink.ro
Support contact: support@ilink.ro

最終的にはルーマニアのプロバイダーを使って悪事を働いている。

分かりますか? うへへへへへ。。。

すぐに判ってしまうような事は止めろよ!

でも、引っかかる人がたくさん居るんすよゥ!

だから、僕はこうして記事を書く気になったのだよ!

デンマンさん!。。。止めてくださいよ! バレてしまうじゃないですか!?

もうバレてるんだよ!

それで、デンマンさんはオイラが使ったマルウェアも突き止めたのですか?

突き止めたよ!

マジで。。。?

次の画像を見ろよ!

この上のどれがマルウェアだと言うのですか?

qttask.exe だよ!

違いますよ! qttask.exe というのは Apple’s Quick Time ムービーを見るためのものですよ。

What is qttask.exe?

Is qttask.exe spyware or a virus?

This process implements Apple’s Quick Time Tray Icon, which enables you to start Quick Time from the System Tray, as well as to perform related functions.

Note: Any malware can be named anything – so you should check where the files of the running processes are located on your disk.
If a “non-Microsoft” .exe file is located in the C:\Windows or C:\Windows\System32 folder, then there is a high risk for a virus, spyware, trojan or worm infection!
Check it out!

オマエの言うことに間違いはない。 しかし、上にも書いてあるようにマルウェアにはどのような名前をつけることもできる。

つまり、オイラが自分のマルウェアに qttask.exe という名前をつけたとデンマンさんは言うのですか?

その通りだよ。 僕はシステムを立ち上げる時に qttask.exe を削除している。 しかも、Quick Time ムービーを、この5年間、僕は見たこともない! それに、上のページの中でも、ユーザーが次のような意見を書いているのだよ!

Some of the Users’ Opinions

Belial555

Used to Automatically Launch Quicktime Window When a .Mov Is clicked on in Web Site.


No name

an optional useless auto startup for quicktime player, disable it to save memory.


Nicole

It is very easily infected w/ viruses.


jude

Not dangerous but annoying as hell.
I cant get the damn thing to stay out of my startup!!


TimMac

I know suddenly it appeared in my systray, and I don’t have QT installed.
Had to use the syscomfig to disable startup, and edit registry to remove the freaking thing.


Rox

Extremely annoying.
Windows 98 will not shut down when this is running.
Hangs.
Keeps reappearing after removal from msconfig startup.


Prebba

Piece of shit application – memory hogger, always adds itself to the ‘Run’ section of the registry. Unecessary.


John Topio

Crappy buggy piece of softtware, unfortunatelly installed with quicktime. the program eats more than 2 MB of RAM and it does nothing useful other than send information to apple.com about the movies you are watching. The information is stored in a small log file in your computer and sent in bursts to apple.com in an encripted format.


djigoressie

all of a sudden, this process tries to access my cd-rom drive, when there is NO reason AT ALL.



jj

it auto starts-up and runs 88% of the time according to Task Manager, slows everything down…


Get it out of your system completely as soon as you see it.

Quick Time Task is pure garbage.
It is a hosting body for a wide variety of virus.


Jonathan Allen

I never installed QuickTime and there is no way to uninstall it.
It burns resources and doesn’t do anything useful.


SOURCE: “What is qttask.exe?”

上の青字にした部分を見てごらんよ。 qttask.exe は、しばしばウィルスやマルウェアの隠れ場に利用されているのだよ。

デンマンさんは知っていたのですか?

もちろんだよ。 僕は次の記事も読んでいたのだよ!

Spam-sending malware

Recently (April/May 2003), we have been seeing a new type of spam.
It appears to originate on normal Windows computers, sometimes inside corporate firewalls.
We theorize that spam-sending “malware” has been installed accidentally by careless users or even through the exploitation of security holes (cracking).
Thus, these Windows computers suffer yet another “infection”.

There appear to be several different types of software, or modes to its operation.
In one mode, it sends directly on port-25 to recipient mailservers.
In another, it uses the Microsoft Outlook proprietary mail-sending protocol to send out via Hotmail mailservers.
This protocol is handled over WebDAV, and the headers will show Hotmail servers using the DAV protocol.
Most common recently, the software (or more likely, its user, the spammer) uses the mailserver provided by your own ISP.

In any case, it leaves little trace as to its origin and is undetectable from the outside.
The only clue is the IP address and the date/time of the occurance.
The real confusion begins when the infected system is part of a network using Network Address Translation (NAT) to proxy connections for internal hosts.
It should be emphasized that some modes of operation bypass outbound mailservers and send directly to the recipient system or via Hotmail’s servers.

Blocking port-25 at the firewall can stop the first mode, but it is very difficult to stop the DAV protocol method globally, since that is transmitted over normal port-80 (www) connections.
It is also problematic blocking a system from the mailserver which it is authorized to use – the system can no longer send legitimate mail.

If you have any more information about this problem, please post it in the forum and it will be added to this FAQ. Specifically, it would be nice to bring this malware into “the lab” and figure out its exact operating parameters – how to remove it, how to detect it, and what it does exactly. One theory about how it is controlled – it may poll a secret URL to receive instructions on what spam to send, and who to send it to.
Another theory is that it logs onto a secret IRC channel to receive commands (an tried-and-true control method).

Update:

One possible route of infection may be exploitation of a buffer overflow in Microsoft IIS 5.0.
Microsoft has released a patch to correct this exploit.
Information and links to the patch are available at http://isc.incidents.org/analysis.html?id=183


スパム送信マルウェア

最近(2003年4月-5月)、新たなタイプのスパムが発生しています。
スパムメールは、通常のWindowsコンピュータ上で送信されます。
時には企業のファイアウォールの内部からスパムメールが送信されます。
スパム送信”マルウェア”は不注意なユーザーによって、誤ってインストールされているのです。
あるいはマルウェアをでっち上げた元々のスパマーがセキュリティホールを悪用して故意にインストールしています。
このようにして、これらのWindowsコンピュータは”感染”を広めているのです。

このマルウェアには、いくつかの異なるタイプのソフトウェアがあるようです。
また、操作モードにも、いくつかのタイプがあるようです。

ある操作モードでは、スパムメールは直接受信者側のメールサーバにポート25を利用して送信されます。
また、別の操作モードではMicrosoft Outlookの独自のメール送信プロトコルを使用し、さらにHotmailのメールサーバを経由してスパムメールが送信されます。

このプロトコルは、WebDAV を利用して処理されます。
送信されたスパムメールのヘッダーを見ると DAVプロトコルが使われているのが分かります。

ごく最近では、スパマーは、あなた自身のプロバイダーのメールサーバを使用してスパムメールを送信しています。
いずれの場合も、足跡をほとんど残していません。
だから外側から検出するのが難しい。

唯一の手がかりは、IPアドレスと、スパムメール送信時の日付と時間です。
ただし、感染したシステムが、内部ホストのプロキシ接続のためにネットワークアドレス変換(NAT)を使用しているネットワークの一部であるときには問題がいっそう複雑になります。

また、ある操作モードでは、送信用メールサーバをバイパスし、受信者のシステムに直接、あるいはHotmailのサーバを経由して送信されることがあります。
ファイアウォールでポート25をブロックすると、スパムメールを拒むことができますが、DAVプロトコルを使って送信されたスパムメールを拒むことは極めて難しい。
なぜなら、その場合、通常のポート80(WWW)を介して転送されるからです。
メールサーバからシステムをブロックするのも問題です。
なぜなら、正当なメールが送信できなくなってしまいます。

この問題についての詳しい情報をお持ちの場合は、フォーラムに投稿してください。
そうすれば、この FAQ に追加されます。

もし、このマルウェアを“実験室”で解剖できたらとてもうれしいですね。
そうすれば正確な動作パラメータを把握することができますから。。。
どうしたらマルウェアを検出し、排除することができるか?
具体的にマルウェアは何をしているのか?
そのような事も理解することができます。

このマルウェアは、いったいどのような仕組みでスパムメールを送信しているのでしょうか?
どのスパムメールを送信し、それを誰に送るのかを秘密のURLから指令書をゲットしているのかもしれません。

あるいは、秘密のIRCチャン​​ネルにアクセスすることによって、指令書をゲットしているのかもしれません。
この方法なら、より実証済みの確実な方式かもしれません。

最新情報:

マルウェアが広がっている経路の一つとして考えられるのは、Microsoft IIS 5.0 のバッファオーバーフローの悪用です。
マイクロソフトはこの脆弱性を修正するパッチ(絆創膏ソフト)をリリースしました。

情報とパッチへのリンクは、次のURLへアクセスしてください。

http://isc.incidents.org/analysis.html?id=183

(翻訳: デンマン)


SOURCE: “Spam-sending malware”

デンマンさん。。。お願いだからオイラをネット警察に引き渡さないでくださいよ。

オマエはスパムメールを送り続けるのだろう?!

いや。。。反省しているのですよ。

でも、スリルがあるから、やっぱりスリルを楽しみながら続けるのだろう?

だってぇ、言論の自由・表現の自由があるじゃないですか!

犯罪を犯すのは表現の自由じゃない!

そのような厳しいことを言わないでくださいよ! オイラも真面目人間になりますから。。。

信じられない!

信じてくださいよ。 “信じる者は救われる” という格言もあるでしょう!?

じゃあ、今度だけは大目にみて信じてあげる。 二度と悪い事をするなよ!


わァ~~ うれしいなあああァ~。。。

デンマンさんに信じてもらった。

うれしいなあああァ~。。。

もうスキップしてしまおう!

ルンルンル~♪~ン

ランランラ~♪~ン

馬鹿ですよねぇ~。 ああやってぇ、すぐに信じてしまうのですよね。 うへへへへへ。。。この寄生虫スパマーが反省しているとは、どうしても思えない。 逮捕するのはネット警察に任せるとして、僕はこの男をじっくりと見守りたいと思います。

【ジューンの独り言】

ですってぇ~
あなたも、スパムメールの中にある妙な URL をクリックしないでくださいね。

先日は偽のブランド品を売りつけるサイトをデンマンさんが紹介していましたが、スパムメールに掲載されている店にはまともな商品はありません。
中国や韓国でもスパムコメントを書いている人が結構いるそうです。

そう言えばデンマンさんも韓国には縁があるのですわ。
デンマンさんの祖先が百済からやって来たというお話は眉唾物(まゆつばもの)ですけれど、面白いからぜひ次のリンクをクリックして読んでみてくださいね。

『デンマンの祖先は百済からやって来た』

次回も面白い話題が続きそうです。
あなたも、どうか、また読みに戻ってきてくださいね。
では。。。

あなたが絶対、

見たいと思っていた

面白くて実にためになるリンク


■ 『ちょっと変わった 新しい古代日本史』

■ 『ブログに記事を書いてお小遣いをもらおう!』

■ 『興味深い写真や絵がたくさん載っている世界の神話』

■ 『現在に通じる古代オリエント史の散歩道』

■ 『見て楽しい、読んで面白い 私版・対訳ことわざ辞典』

■ 『きれいになったと感じさせる

下着・ランジェリーを見つけませんか?』

■ 『笑って楽しめる 私版・対訳 慣用句・熟語辞典』

■ 『辞書にのってない英語スラング』

■ 『オンライン自動翻訳利用法』

■ 『漢字馬鹿の再来 (2009年2月13日)』

■ 『漢字馬鹿の悦楽 (2009年2月15日)』

■ 『漢字馬鹿の自己矛盾 (2009年2月17日)』

■ 『あなた、おかえり (2009年2月19日)』

■ 『脳内漢字馬鹿 (2009年2月21日)』

■ 『他人の不幸は蜜の味 (2009年2月23日)』

 『あなたもワクワクする新世代のブログ』

■ 『ちょっと心にぐっと来る動物物語』

■ 『漢字馬鹿の恋 (2009年2月25日)』

■ 『馬鹿のモデル (2009年2月27日)』

■ 『軽井沢タリアセン夫人 – 小百合物語』

おほほほほ。。。

卑弥子でご

ざ~♪~ますわよ。

くどいようですけれど、

また現れましたわ。

やっぱり、ジューンさん

ぱっかりに任せていると

退屈するのよねぇ~。

それで。。。つい、つい、

出て来てしまうので

ござ~♪~ますわよ。

ええっ、余計な事は言わなくてもいいから、

さっさと言いたいことを言って消えろ!

あららあああぁ~

あなたはそのような厳しいことをあたくしに

言うのでござ~♪~ますか?

いけすかないことォ~♪~

分かりましたわ。

では、今日の一言を。。。

うふふふふ。。。

Truth will be truth,

regardless of a closed mind,

ignorance or the refusal

to believe.

— ナポレオン・ヒル博士

真実は真実である。

たとえどんなに心を閉ざしたり、

無知であったり、

信じることを拒絶していたとしても。

あたくしは、このように訳しました。

もっと素晴しい訳があったら教えてくださいませ。

このヒル博士と言う人は

“人生で成功するには”と言うような本を

たくさん書いている人でござ~♪~ますわ。

あなたも名前を聞いたことがあるでしょう?

えっ?他になんか面白い話はないのかって。。。?

ありますわよ。

次のリンクをクリックして読んでみてね。

■ 『あなたが笑って幸せになれるサイト』

気持ちがくさくさしていたら、

あなたも覗いてみてね。

笑えるわよ。

本当に面白いのよ。

騙されたと思って覗いてみてね。

うふふふふ。。。

では、今日も一日楽しく愉快に

ネットサーフィンしましょう。

じゃあね、バ~♪~イ。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中


%d人のブロガーが「いいね」をつけました。