月曜日, 2月 06, 2012

日本語携帯スパムメールの調査(Part 3): あるワンクリック詐欺の迷惑メールのソースは「MATCHYOU.BIZ /180.222.53.5」と「G-GREE.COM/203.142.201.70」のアダルト詐欺サイト


※Click here for english brief explanation※ ※前回の調査内容⇒ Part1Part2
下記のサーバは↓
imp101.mag-r.net [180.222.53.5]

下記のワンクリック詐欺の迷惑メールのソースです↓
※携帯から又はスマートフォーンやPCから見ると↓

↑※クリックで拡大

※テキストで見たらこんな感じの内容です↓
From: kensyousaito@kisukuni.com
Date: Mon, 6 Feb 2012 02:53:31 +0900 (JST)
Subject: 【流出裏動画】アイドルが営業先で騙され・・・


世間知らずなアイドルが営業先で騙されて取引先にご奉仕を強要され…↓
<アダルト写真>

↑無料動画を観る↑<hxxp://matchyou.biz/m/recive.php?sp=JOTmf0ku80i5Ha5Ttad-8mk1zMraLhUCJQRw>


▼【前田○子】ネットで大騒ぎ!過去の疑惑写真!
無料動画を観る <hxxp://matchyou.biz/m/recive.php?sp=JOTmf0ku80i5Ha5Ttad-8mk1zMraLhUCJQRw>


▼【山○梓 高校時代の友達から流出したプライベート全裸映像!】
無料動画を観る <hxxp://matchyou.biz/m/recive.php?sp=JOTmf0ku80i5Ha5Ttad-8mk1zMraLhUCJQRw>


その他の 無料動画を観る <hxxp://matchyou.biz/m/recive.php?sp=JOTmf0ku80i5Ha5Ttad-8mk1zMraLhUCJQRw>





※配信停止はコチラ <hxxp://matchyou.biz/m/stop_mail.php?sp=JOTmf0ku80i5Ha5Ttad-8mk1zMrb>

このスパムメールが届いたら削除した方がいいと思います。
【注意!】上記のメールにある写真又はURLをクリックすると架空請求メールが届きます。
下記の調査内容を参考に関して使っても構いません

スパムメールの送信ルート↓
AU Mobile users ← AU携帯ユーザ

lsean.ezweb.ne.jp [172.26.72.208] ← AU携帯ゲートウェイMXサーバ

gn089.mail-bgn.net / 115x187x70x15.rev.grnt.ne.jp [115.187.70.15] ← B-net社(日本のISP)のサーバ

r101-imp001-01.mail-b.net [180.222.53.215] ← Redspeed Networks社(日本のISP)のサーバ

imp101.mag-r.net [180.222.53.5] ← Redspeed Networks社(日本のISP)のサーバ

localhost.mag-r.net [10.20.231.89] ←プライベートIP

[127.0.0.1] ←SpammerのPC/ローカルホスト

メールのヘッターのある必要な情報(フィルターの為に使えます)↓
smtp.mailfrom=rainbow+err12185@imp101.mag-r.net;
Return-Path: 
X-Mailer: RAINBOW Version 1.4.6


どのようにして「au」のフィルターを抜けたのか?

「au」のSPFとAUTHフィルターのスキャン結果は下記となります↓
Authentication-Results: ezweb.ne.jp;
  spf=pass smtp.mailfrom=rainbow+err12185@imp101.mag-r.net;
  sender-id=pass header.from=kensyousaito@kisukuni.com

X-SPF-AUTH: Pass (lsean.ezweb.ne.jp: domain of imp101.mag-r.net designates 
            115.187.70.15 as permitted sender) 
            client-ip=115.187.70.15; 
            envelope-from=; 
            helo=gn089.mail-bgn.net; 
            domain=imp101.mag-r.net; 
            txt=v=spf1 ; 
            auth=v1;

↑本件の迷惑メールを送信した方が上記のフィルターが分かったみたいので、スパムのドメインにCASCADE/マルシプルSPFレコードを使ってますので、SPFフィルターを抜けてしまいます。下記の証拠↓
imp101.mag-r.net text "v=spf1 include:spf.mail-b.net include:spfall.ark-net.ne.jp ~all"
spf.mail-b.net text "v=spf1 include:spf01.mail-b.net include:spf02.mail-b.net ~all"

spf01.mail-b.net text "v=spf1 ip4:202.231.196.0/25 ip4:203.142.214.0/24 ip4:203.142.207.16/28

ip4:124.248.144.0/23 ip4:115.187.72.128/25 ip4:115.187.77.0/24 ip4:115.187.71.0/24 ~all"
spf02.mail-b.net text "v=spf1 ip4:119.82.8.0/21 ip4:119.82.152.0/21 ip4:180.222.32.0/19 ip4:27.100.28.0/22
ip4:120.143.39.128/25 ip4:115.187.70.0/24 ip4:31.148.149.0/25 ~all"

spfall.ark-net.ne.jp text "v=spf1 include:spf01.ark-net.ne.jp include:spf02.ark-net.ne.jp include:spf03.ark-net.ne.jp
include:spf04.ark-net.ne.jp include:spf.mail-b.net ~all"

spf01.ark-net.ne.jp text "v=spf1 ip4:210.175.62.0/24 ip4:210.175.47.0/24 ip4:61.209.246.0/24 ip4:211.8.131.128/25
ip4:210.151.38.192/26 ip4:210.169.130.0/26 ip4:210.175.112.0/25 ip4:211.8.127.0/25
ip4:210.175.115.0/24 ip4:210.175.124.0/24 ~all"

spf02.ark-net.ne.jp text "v=spf1 ip4:61.209.229.0/25 ip4:61.209.230.0/25 ip4:61.209.231.0/25 ip4:210.146.22.0/24
ip4:210.151.32.0/24 ip4:210.169.148.0/24 ip4:211.8.70.0/24 ip4:61.200.42.0/25
ip4:61.200.43.0/25 ip4:210.175.80.0/24 ip4:210.175.40.0/24 ~all"

spf03.ark-net.ne.jp text "v=spf1 ip4:61.209.229.128/25 ip4:61.209.230.128/25 ip4:61.209.231.128/25
include:spf04.ark-net.ne.jp ~all"

spf04.ark-net.ne.jp text "v=spf1 ip4:210.48.247.128/25 ip4:211.8.56.0/21 ip4:202.229.45.192/26
ip4:123.98.155.128/25 ~all"

本件のワンクリック詐欺の送信元メールサーバは(180.222.53.5)ですねMATCHYOU.BIZのドメインが同じサーバにあります、下記は証拠↓

IP登録情報を全て洗い出しましょう↓
--------------------------------------------
スパム送信元IP: 180.222.53.5, 180.222.53.215
--------------------------------------------
inetnum:        180.222.32.0 - 180.222.63.255
netname:        REDSPEED-CIDR-BLK-JP
descr:          Redspeed Networks Co., Ltd.
remarks:        Email address for spam or abuse complaints : netadmin@red-speed.net
country:        JP
admin-c:        MK19848JP
tech-c:         MK19848JP
remarks:        This information has been partially mirrored by APNIC from
remarks:        JPNIC. To obtain more specific information, please use the
remarks:        JPNIC WHOIS Gateway at
remarks:        http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks:        whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks:        defaults to Japanese output, use the /e switch for English
remarks:        output)
changed:        apnic-ftp@nic.ad.jp 20110301
changed:        apnic-ftp@nic.ad.jp 20110302
source:         JPNIC
Contact Information: [担当者情報]
a. [JPNICハンドル]              MK19848JP
b. [氏名]                       小西雅也
c. [Last, First]                Konishi, Masaya
d. [電子メイル]                 info@red-speed.net
f. [組織名]                     株式会社レッドスピードネットワークス
g. [Organization]               Redspeed Networks Co., Ltd.
k. [部署]                       
l. [Division]                   
m. [肩書]                       
n. [Title]                      
o. [電話番号]                   03-3400-0433
p. [FAX番号]                    
y. [通知アドレス]               info@red-speed.net
[最終更新]                      2011/02/18 14:35:05(JST)
                                db-staff@nic.ad.jp
--------------------------------------------
スパム送信元IP: 115.187.70.15
--------------------------------------------
inetnum:        115.187.70.0 - 115.187.70.127
netname:        BNET
descr:          B-net LLC
country:        JP
admin-c:        MA409-AP
tech-c:         MA409-AP
status:         ASSIGNED NON-PORTABLE
mnt-by:         MAINT-JP-BNET-1000504
mnt-irt:        IRT-BNET-1000504-JP
changed:        netadmin@b-net.jpn.com 20111228
source:         APNIC

person:         Masaya ARAKI
address:        3-17-2 Shibuya Shibuya-ku Tokyo-to
country:        JP
phone:          +81334000577
e-mail:         netadmin@b-net.jpn.com
nic-hdl:        MA409-AP
mnt-by:         MAINT-JP-BNET-1000504
changed:        netadmin@b-net.jpn.com 20111228
source:         APNIC

スパムメールのURLドメイン調査:  MATCHYOU.BIZ

ドメイン情報を調べたら登録された内容は隠された状況ですが…onamae.comで登録したドメインですね。

Domain Name:                                 MATCHYOU.BIZ
Domain ID:                                   D47637509-BIZ
Sponsoring Registrar:                        GMO INTERNET, INC.
Sponsoring Registrar IANA ID:                49
Registrar URL (registration services):       whois discount-domain.com
Domain Status:                               ok

ID:                                          BIZ-1336412FF5A
Name:                                        Whois Protect Service
Organization:                                GMO Internet Inc.
Address1:                                    26-1 Sakuragaoka-cho
Address2:                                    Cerulean Tower 11F
City:                                        Shibuya-ku
State/Province:                              Tokyo
Postal Code:                                 150-8512
Country:                                     Japan
Country Code:                                JP
Phone Number:                                +81.0303648727
Email:                                       admin@onamae.com

Technical Contact ID:                        BIZ-13364130571
Technical Contact Name:                      Whois Protect Service
Technical Contact Organization:              GMO Internet Inc.
Name Server:                                 01.DNSV.JP
Name Server:                                 02.DNSV.JP
Created by Registrar:                        GMO INTERNET, INC.
Last Updated by Registrar:                   GMO INTERNET, INC.
Domain Registration Date:                    Wed Nov 02 11:38:49 GMT 2011
Domain Expiration Date:                      Thu Nov 01 23:59:59 GMT 2012
Domain Last Updated Date:                    Wed Nov 23 06:30:10 GMT 2011
スパムドメイン「matchyou.biz」のIPを確認したら↓

matchyou.biz.           300     IN      A       180.222.53.5

「matchyou.biz」のIP:180.222.53.5はスパムの送信アドレスです、詳しい関係が下記のネットワーク図に確認が出来ます↓

↑※クリックで拡大

■スパムの詐欺サーバはG-GREE.JPのウェブサーバとなります、調査内容は↓

本件のワンクリック詐欺迷惑メールのホームページをお楽しみに調査したら下記となりますね↓

↑残念、認証が必要(T T)

それで、携帯向けのURLを試したら↓

↑なにもな~いって感じでうね(笑、そして、携帯のURLをお楽しみに調査でクリックしたら、
別のウェブサイトに飛ばされてしまいますね↓

--21:25:12--  hxxp://matchyou.biz/m/recive.php?sp=JOTmf0ku80i5Ha5Ttad-8mk1zMraLhUCJQRw
           => `recive.php@sp=JOTmf0ku80i5Ha5Ttad-8mk1zMraLhUCJQRw'
Resolving matchyou.biz... 180.222.53.5
Connecting to matchyou.biz|180.222.53.5|:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: hxxp://g-gree.com/playmax.rttd455/ [following]
--21:25:16--  hxxp://g-gree.com/playmax.rttd455/
           => `index.html'
Resolving g-gree.com... 203.142.201.70
Connecting to g-gree.com|203.142.201.70|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
    [ <=>                                 ] 801           --.--K/s
21:25:16 (17.09 MB/s) - `index.html' saved [801]
ブラウザーを見たら、携帯専用のサイト画面を見えます↓


そもそも↑このサイトで誰のサイト?下記の図で確認が出来ます↓

↑最近作られたスパムのドメインですね(^^v ブラックリストに登録して下さい。
調査以上です。

■本件のスパムをレポートしたい方々に付いて下記の連絡先を使って下さい、
参考で本レポートの情報を使っても構いません↓

admin@onamae.com
netadmin@b-net.jpn.com
info@red-speed.net
----
ゼロデイ・ジャパン / Zero Day Japan
http://0day.jp
調査研究者: unixfreaxjp
Posted by unixfreaxjp at 9:47 午後

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)