2010年のスパムとスパムボットネット情報

昨年のスパム、スパムボットネット情報と今年のスパムトレンドに付いて下記の内容となります。

■全世界の昨年のスパム情報

昨年は一昨年よりもスパム数が結構出ました。
全体スパム数を計算するには難しいですがSpamCopハニーポットの情報基づいて秒間の平均では３０～４０通飛んでいるじゃないかと、MAXでは秒間50通以上が出まました。
昨年末にスパムの量が急に少なくなったの時期があります↓

↑Source: M86
丁度Rustockボットネットの動きは同じ時期で減れました↓

↑上記の情報だけ見たら、全体スパムの数の中にRustockボットネットの影響が結構あるかと思われます。

■どの国には一番スパムの数が多い？


※Source: Cisco
↑アメリカ、インド、ブラジル、ロシアが一番ランキング上ですね。

■どのボットネットからのスパムが多いですか？
このグラフを一緒に見ましょう↓

＃１はRustockボットネットですね。
一昨年Rustockボットネットはランキング4でしたが、昨年と現在は一番になりました。今現在大体250,000ボット軍団が発見されました。
Rustockに感染されたら、PCやサーバがスパムボットクライアントになります。
他のスパムボットと違うのは結構あります↓
・Rootkit技術を使いPCに感染した後何も動かず隠した動きが発見
・大体ボットセンターの繋ぎ5日間後にスパムを沢山送る動きがはじめる
・TOR　exit codeの技術を使いマスターとクライアントのkeep-alive環境が発見、目的はネットワーク管理者に切られ無いように、わざとTOR exit codeを使う
・マスターとクライアントHTTPプロトコルです、例え、下記のヘッター↓

↑HTTPでこのドメインに繋ぐセッションが発見⇒「gamecetera.com playdrom.com Ricead.com Funklicks.com Bannerflux.com Gamesbannernet.com Mochimedia.com
GirlGamesBanner.com」
※日本にはRustockボットネットからのスパムサンプルが結構多いので、薬、アダルトとカシノの内容が殆どです。

＃２は「CutWail/Pushdo」ボットネットですね。
このボットネットは大体100,000台のボットネット軍団が発見されました。
Rustockと同じマスター～クライアント繋ぎ方です。違うのはCutwailのスパム特別SMTPプロトコルが持っています。このプロトコルが発見されたら邯鄲に止められますが、CutWailボットネットの専用プロトコルの仕様がころころ変わります。ですからこそ上記のグラフでいくつかCutWailのデータが出ました。このボットネットはロシアで作られた物です。

＃３は「Lethic」、Lethic 少なくても75,000台の数が持っています。
またロシアで作られた物です。動きも面白くて、SMTPプロキシの動き方が発見されました。感染されたPCには沢山スパムメールが来るような仕組みがメインです。
感染されたら周りにあるPCにワームの動きで感染するの動きも発見しました。

次のランクでは大分前から出てきたGrum (65,000 bots)、Festi(60,000 bots)とMaazben(30,000 bots)です。このボットネット情報の内容は昨年との変わりませんので、詳しく確認方法は右側にある検索ツールを使って下さい。

30万マシン以下のボットネット一覧は下記となります↓
Asprox、Fuflo、Waledac、Fivetoon/DMSSpammer、Xarvester、Bobax/Kraken、Gheg、Bagle、Mega-DとOzdokですね。

---
ゼロデイ・ジャパン
http://0day.jp
と
株式会社ケイエルジェイテック
スパムリサーチセンター