偽バイアグラスパム - 1077468246

1：北斗「剣」士郎★：2004/02/23(月) 01:44 ID:1EEqjwvA: 偽バイアグラスパムがもの凄いですが、
ドメインの名義が殆ど同じ名義だったりする場合が
あります。
http://johnbokma.com/spam/zhangjun.html
全てzhang junという中国人(?)名義です。

未だに毎日ドメインを取得し続けているのが
凄いですな。（褒めてどうする？）
2：sin2：2004/03/11(木) 10:58 ID:L3Y8U0hI: はじめまして。
これはウチにも来てます・・・
調べるとSpamCopでもトラッキングされているようで、BLに登録されまくりですね。

＞未だに毎日ドメインを取得し続けている

何か意味があるのかデタラメなのか暗号めいたドメイン名のメール鯖ですね。
ただhrefを辿ると大元はphamerd.comらししいですが・・・
登録地のDan dongは北朝鮮との国境にある中国の遼寧省丹東市ですね。

このサイトって実際に販売していないようですが、cgiやaspのリンクにIDが
あるところからして、クリック・ポイントで金を稼ぐのが目的なのでしょうか？
IDはGPH、GP、JIMである場合が多いようです。
3：sin2：2004/03/11(木) 11:06 ID:L3Y8U0hI: SpamCopのトラッキング情報です。
---
Tracking ip 219.153.0.89
Routing details for 219.153.0.89
Cached whois for 219.153.0.89 : abuse@cta.cq.cn

Using abuse net on abuse@cta.cq.cn
abuse net cta.cq.cn = abuse@publicf.bta.net.cn, sysop@ctsi.com.cn, spam@ctsi.com.cn, dnsmail@public.cta.cq.cn, wangyan@public.cta.cq.cn, postmaster@cta.cq.cn, zhong@public.cta.cq.cn, ctsummary@special.abuse.net, jieliang@ix.netcom.com
Using best contacts abuse@publicf.bta.net.cn sysop@ctsi.com.cn spam@ctsi.com.cn jieliang@ix.netcom.com dnsmail@public.cta.cq.cn wangyan@public.cta.cq.cn postmaster@cta.cq.cn ctsummary@special.abuse.net zhong@public.cta.cq.cn
jieliang@ix.netcom.com bounces (24937 sent : 12481 bounces)

[Using jieliang#ix.netcom.com@devnull.spamcop.net for statistical tracking.]
---

＃BLのデータ
---
24.2.43.185 listed in bl.spamcop.net (127.0.0.2)
　Since SpamCop started counting,
　this system has been reported about 5590 times by about 540 users.
　It has been sending mail consistently for at least 32.1 days.
　In the past 31.9 days, it has been listed 2 times for a total of 14.0 days

In the past week, this system has:
　Been reported as a source of spam about 140 times
　Been detected sending mail to spam traps
　Been witnessed sending mail about 4680 times

Other hosts in this "neighborhood" with spam reports:
　24.2.43.237
4：sin2：2004/03/11(木) 11:15 ID:L3Y8U0hI: 私のところに来るバイアグラSPAMでは、以下の業者がしつこいものの一つです。
　mega-health.net
　medz4cheap.com
同じ業者ですが、下のドメインは死んでいるのになぜか混在していまだに送られ
てきます。
ドメイン登録はロシアになっています。

Administrative Contact:
Region - Russia SafeBilling Inc. russia@safebilling.org

これも販売の実態が無いような感じです。
5：sin2：2004/03/11(木) 11:28 ID:L3Y8U0hI: これもしつこいバイアグラSPAMです。
　choicerx4less.com　

WOISしてみると
--
ITO- HITACHI-HANCL CO., LTD (JHLDBFHDWD)
No. 413 Sishui Road, Xinqyang Town,
Zhejiang, China
Xinqyang, Zhejiang 315200
CN
Administrative Contact, Technical Contact:
Chan, Ka-Ling (37297898P) kaling@choiceforrx.com
ITO
No. 413 Sishui Road, Xinqyang Town,
Zhejiang, China
Xinqyang, Zhejiang 315200
CN
86-532-5945813
---
中国の浙江省登録らしいですが、"ITO- HITACHI-HANCL CO., LTD"というのが
興味深い。
デタラメだとは思いますが。

ここも販売の実態がないようで、HPにあるボタンはクリック・ポイント稼ぎの
ダミーのようです。
6：sin2：2004/03/11(木) 11:54 ID:L3Y8U0hI: 連書きすいませんm(__)m　今日は暇なもので・・・
zhang junについて以下のようなHPを見つけました。
参考に。

◆謎の中国人 zhang junのすべて
　http://www.hart.co.jp/spam/zhangjunprof.html
（ハートの拒絶日記：　http://www.hart.co.jp/spam/nikki.html）
7：sin2：2004/03/11(木) 11:59 ID:L3Y8U0hI: ZHANG JUNは漢字だと「張駿」らしいですね。
偽名だと思いますが厦門足球倶楽部（サッカーチーム）紅獅隊に同名のMF選手
がいるので、そこから取ったのでしょうか・・・
8：sin2：2004/03/11(木) 14:44 ID:L3Y8U0hI: 私は@niftyユーザーですが、zhang junの傾向がある程度把握できたため、
スパムブロック（マニュアル・フィルター）と、迷惑メールフォルダー＆
学習フィルター（学習型フィルター）で9割方フィルタリングできています。

zhang junの動向を知るため、現在は敢えてスパムブロックを外し、学習フィ
ルターで隔離されたメールも受信してチェックしています。

［確認できたzhang junのメールの種類］
1："Our US Licensed Doctors will Prescribes Your Medication"で始まるメール
　????hosting.com,hope????drugs.bizのドメインにリンクしてあることが多い。
　????の部分は"3007"などの数字が入っている。
2："The Americn Society for the Treatment Aging"のgifが貼り付けてあるメール
3:"Free Cable%RND_SYB TV"で始まり"UNLEASH THE POWER OF YOUR DIGITAL CABLE"
　のjpgが貼り付けてあるメール。
　????hosting.comにリンクしてある。
4:文面は全く異なるがソースを見ると
　 asp?id=GPH, asp?Folder=gp, asp?id=jim, id=JNL, id=3Dgp
　などのリンクやIDが見られるもの。
5:文面は全く異なるがソースを見るとリンク先のdirが"/at"のもの。
6:上記のような特徴がないもの。
　SubjectはRe:やFw:を使うものが多く、リンク先は
　 775rgt.com, 2345drf.com, 34erd5d.com
　のような意味不明なドメイン名が多い。

zhang junはバイアグラやザナックスの薬剤だけかと思っていましたが、チェック
しているうちに3:のようなAV機器も出てきました。

フィルタリング逃れのためか文面が若干変化しますが、1～3:が定番で私の場合は
全体の約７割がこの３つで占められます。