掲示板お問い合わせランダムジャンプ

トップスペース
rss-reader.png taRgrey  削除ガイドライン  おしらせ  SPAM対策  専属DJのブログ  BOF  SPAM対策別館

2009年06月20日
落雷でLANアダプタ故障
昨日「ADSLでのネット接続が出来ない」という問い合わせがあり、
確認したところ、2日ほど前の落雷でLANアダプタが故障している様子。

電話口での確認として、ADSLモデムNV3のランプ表示を確認。

ADSL: 点灯
PPP : 消灯
LAN : 消灯 <<< PCの電源は入っている
PWR : 点灯

PPPoEの接続はPC側の接続設定で行っているとの事なので、PPPは
消灯していてOK。

PCの電源が入っているのにLANのランプが点灯していないのは、
ADSLモデム(NV3)のLANポート故障、LANケーブル接続不良、
PCのLANポート故障が考えられます。

PCは一台しか所有していないとのことなので、訪問して確認した
ところ、持ち込んだノートPCでは正常に接続できる事を確認。

お客様のPCのデバイスマネージャーで確認すると、LANアダプタは
認識して正常に動作していると表示されますが、ネットワーク接続
にはローカルエリア接続のアイコンが表示されていません。

PCはDELL OPTIPLEX 170L なのでメーカーでの引き取り修理も
できますが、しばらく使えないのも困るとのことで、PCIスロットに
別のLANアダプタを取り付けて対応。

その際、本来の拡張用ライザカードのPCIスロットにLANアダプタを
取り付けたところデバイスとして認識できず、時間も無かったため
標準搭載されていたモデムカードを取り外し、そこにLANアダプタを
取り付けて無事認識。

(でもライザカード上のPCIスロットがなぜ認識しなかったのか?)

先日の雷はだいぶ激しかったとの事なので、これからの時期この様な
故障は増えそうです。

雷サージ対策テーブルタップの利用とか、雷がなり始めたらコンセントを
抜くなど一通りの対策を説明してサポート完了です。



[ 投稿者:Cookie at 09:01 | ハードウェア | コメント(0) | トラックバック(0) ]

2009年06月19日
誘導先ホスト名が"."以外の文字区切りのスパム
昨晩からちらほら目立って届いているスパムの特徴です。

誘導先サイトのホスト名を.(ドット)区切りではなく、スペースもしくはTABで区切った記述になっています。

▼メール本文

Foreplay Techniques too Make Heer Climax Easily (www meds35 net)
Amerticans Make Resolutiosn, Stick To Them

----------------

Best French Kisssing Tips And rTicks (www meds35 net)
Facing Tbhe uMsic

など

でもこんなので誘導できるのか?

追記)

Sexstrology -- The Basics - Prat 2 (www meds88 net)
Ohio Couples Have White (Castel) Weddiing

ドメイン名の数字が変化したものが届き始めました...

/\(www(\.| )meds[0-9]{2}(\.| )net\)/ REJECT

とかで対応。

追記 2009-06-22)

パターンが変化していますが、基本的に単純なので正規表現で
マッチングさせれば全てブロックできます。

(www meds30 org)
(www shop47 net)
(www? shop47? net)

しかし、こんな表記でスパムとしての効果は期待できるのか??


追記 2009-07-23)

類似のSPAMですが、URLの表記を変えてまだばら撒いているようです。

▼例(文章は差替えました) 
Everything that irritates us about others
can lead us to a better understanding of ourselves.www.sd63{.net}

とか、末尾が www.sd63(.net)
などのSPAMがこのところ日替わりで届いていましたが、予想される記述を
正規表現にまとめてREJECT設定しました。

たぶん括弧の種類や位置が変化すると思われます。

少し前には、
www . sd63 . net
www .sd63. net
www. sd63.net
www[dot]sd63[dot].net

とかのパターンもありましたね。

追記 2009-07-25)

新たなパターンが届きました。
www.45meds. com
www.molopo. net

追記 2009-07-27)

相変わらず色々とパターンを変化させてますね。
www.5site5.net
www.5site5 .net
www.only9 . org
www.only9 .org
www.45meds . net
www.newway9 .com
www.77shop. org

しかし全て共通の特徴として、スパム文末の"."に続けて誘導先サーバ名が書かれているので、判定ルールは簡単に正規表現で書けます。


[ 投稿者:Cookie at 09:53 | SPAM対策 | コメント(0) | トラックバック(0) ]

2009年06月17日
添付画像スパム 再び
先日の添付画像スパム(本文なし)に続き、昨日から新たな添付画像スパムが大量に届き始めています。

今回は本文が一行だけありますが、添付されている画像は前回同様に背景色とポイントとなる画像の配置がランダムに変更されています。

■本文

Teacehrs Stage Gun Attack; Parents Uptset

4m000-year-old doctor's mummy foaund

Se-xstarved wife asks poilce to intervene

N.Z. Burglar Retuarns Goonds, Apologizes

など...

410

fibrizer

647

今回も多少のアレンジはあるものの、ワンパターンな画像なので、メールのソースを見ると、base64でエンコードされた画像部分は同一。

N.Z. Burglar Retuarns Goonds, Apologizes
----------_007_01843CCB472FD61E1105birchbark_
Content-Type: image/jpg;
name="168.jpg"
Content-Disposition: attachment;
filename="168.jpg"
Content-Transfer-Encoding: base64

/9j/4AAQSkZJRgABAgAAZABkAAD/7AARRHVja3kAAQAEAAAAAAAA/+4ADkFkb2JlAGTAAAAAAf/b
AIQAGxoaKR0pQSYmQUIvLy9CRz8+Pj9HR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dH
R0dHR0dHR0dHRwEdKSk0JjQ/KCg/Rz81P0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dH
〜省略〜

Teacehrs Stage Gun Attack; Parents Uptset
------MPKxs61DyxWZqFubORyhIHGxyF5j74w07DA49xo49Fe2mL
Content-Type: image/jpg;
name="844.jpg"
Content-Disposition: attachment;
filename="844.jpg"
Content-Transfer-Encoding: base64

/9j/4AAQSkZJRgABAgAAZABkAAD/7AARRHVja3kAAQAEAAAAAAAA/+4ADkFkb2JlAGTAAAAAAf/b
AIQAGxoaKR0pQSYmQUIvLy9CRz8+Pj9HR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dH
R0dHR0dHR0dHRwEdKSk0JjQ/KCg/Rz81P0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dHR0dH
〜省略〜

前回同様postfixのbody_checksでbase64エンコードの一行目の文字列を判定してREJECTしておきます。

これを書いている間にも、早速3通ほどREJECTしてます^^;



[ 投稿者:Cookie at 12:29 | SPAM対策 | コメント(0) | トラックバック(0) ]

2009年06月02日
新たな「WEBウィルス」
4月下旬から蔓延している「Gumblar(ガンブラー)」(通称「GENOウィルス」)とは異なる新たな「WEBウィルス」が確認されているらしい。

▼IT Proより
新たな「Webウイルス」出現、2万件以上の正規サイトに埋め込まれる
「Glumbler」ウイルスとは別物、対策ソフトを使っていても被害の恐れ
http://itpro.nikkeibp.co.jp/article/NEWS/20090601/331097/


動作的にはGENOウィルス同様にHTMLにJavaScriptが仕込まれ、閲覧したPCにセキュリティホールがあると、悪質なプログラムをダウンロードさせられて感染する。

 現時点では、多くのセキュリティ対策ソフト(ウイルス対策ソフト)が、最終的にインストールされるウイルスに未対応の模様。複数メーカーの対策ソフトで検査できるWebサイト「VirusTotal」を使って今回のウイルスをチェックしたところ、2009年5月29日時点で、39社中4社の製品でしか検出できなかったという。


うーん。 次から次へと続きますねぇ。

しばらくの間このタイプのウィルスが流行る可能性が高そうです...

[ 投稿者:Cookie at 12:54 | セキュリティー | コメント(0) | トラックバック(0) ]

2009年06月01日
RTF形式の添付ファイルスパム
昨日5月31日から、RTF形式(リッチテキストフォーマット)の添付ファイルのみで、本文の無いスパムが大量に届くようになっています。

2007年にも流行った様ですが、また復活したんでしょうか?

添付ファイル名は拡張子が「.rtf」となっており、拡張子の前は色々変化しています。

-------------_003_4BF65D4E119876C1013D90D9degassing_
Content-Type: application/octet-stream;
name="veinal.rtf"
Content-Transfer-Encoding: base64

-------------=_NextPart_597_1398_2EC7B39E.88731089
Content-Type: application/octet-stream;
name="volcano.rtf"
Content-Transfer-Encoding: base64

---------------_006_571E831C5D5FB4E154FE126D1C9413154Dhungrier_
Content-Type: application/octet-stream;
name="monohull.rtf"
Content-Transfer-Encoding: base64

------202112bd0e2be4511062411b
Content-Type: application/octet-stream;
name="award.rtf"
Content-Transfer-Encoding: base64

-----101FD253513FEEA72AD0D1E86A55914455196978116A86583B027A7D705F6735
Content-Type: application/octet-stream;
name="rennes.rtf"
Content-Transfer-Encoding: base64


添付されているRTFファイルの中身はどれもviagra, cialisなどの販売サイトへの誘導リンクです。

誘導先ドメイン名は数字とハイフンの組み合わせ。

http://77-66.cn - buy viagra, cialis, levitra and other meds

http://2-111.com - buy viagra, cialis, levitra and other meds

http://55-11.cn - buy viagra, cialis, levitra and other meds

http://9-222.net - buy viagra, cialis, levitra and other meds

http://9-555.com - buy viagra, cialis, levitra and other meds

MS-WORDがインストールされていると「.rtf」に関連付けられているので、MS-WORDが開きリンクがクリックできる状態になります。

ざっと見た感じでは、ヘッダーのX-Mailerが全て「PHP」である事。

X-Mailer: PHP/5.2.6
X-Mailer: PHP/5.2.3
X-Mailer: PHP/5.1.4
X-Mailer: PHP v4.4.5
X-Mailer: PHP/5.1.2

送信元はadslなどのホスト名なのでサーバ系とは思えませんが、phpを仕込まれてボット化しているのか?? 不明です。

ひとまず「SpamAssassin」で、X-Mailer と mimeheader の meta 判定で、スパム処理するようにしておきました。


[ 投稿者:Cookie at 11:14 | SPAM対策 | コメント(0) | トラックバック(0) ]