Nyt noin viikko hunajapurkin vastaanottamien ensimmäisten roskapostiviestin jälkeen palasimme tarkistamaan tilatot. Huomasimme kuluneen viikon aikana että ensimmäisen hunajapurkkiin osuneen roskapostittajan lisäksi hunajapurkkiin lähetti roskapostia myös noin 2000 saastuneen koneen vahvuinen bottiverkko.

Tässä hieman päivitettyjä tilastoja viikon ajalta:

Vastaanotimme 309202 roskapostia jotka oli tarkoitettu 3814594 vastaanottajalle, eli käytännössä onnistuimme tutkimuksen yhteydessä estämään 3.8 miljoonan roskapostin välityksen. Taiwanissa sijaitsevien vastaanottajien määrä oli edelleen korkea: 3.8 miljoonasta vastaanottajasta 3.5 miljoonalla oli .tw -päätteinen sähköpostiosoite.

Alla neljä kuvaruutukaappausta tyypillisistä näillä roskaposteilla mainostetuista tuotteista:

Näyttäisi siltä että VideoCD:t (VCD) ovat erittäin suosittuja roskapostiaiheita aasiassa. Emme kuluneen viikon aikana kertaakaan havainnoineet länsimaissa tuttuja aiheita kuten viagraa tai jäljennöskelloja tarjoavia roskaposteja.

Rakensimme tätä tarkoitusta varten hunajapurkin, joka näyttäytyy ulkopuolisille hyökkääjille avoimena välityspalvelimena. Asennuksen jälkeen jouduimme odottamaan noin vuorokauden verran ennen ensimmäisen roskapostittajan saapumista. Ensimmäinen palvelimelle lähetetty viesti ei ollut vielä roskapostia vaan roskapostittajan itselleen lähettämä viesti, jolla he pyrkivät selvittämään onko palvelin oikeasti avoi välityspalvelin. Avoin välityspalvelin sallii sähköpostin välittämisen sellaisiinkin osoitteisiin jotka eivät suoranaisesti kuulu sen toimipiiriin. Tämän takia mustalle listalle joutuu kyseinen välityspalvelin roskapostin takia, eikä poskapostittajien omat järjestelmät.

Ensimmäinen testiviesti näytti tältä:

OUT:       220 <removed> SMTP server ready to serve.
IN :       HELO <removed>
OUT:       250 <removed> Hello <removed>, pleased to meet you.
IN :       MAIL FROM:<k6u5f3s2k5@yahoo.com>
OUT:       250 OK
IN :       RCPT TO:<sseenndd1201@yahoo.com.hk>
OUT:       250 User not local; will forward
IN :       DATA
OUT:       354 Start mail input; end with <CRLF>.<CRLF>
IN :       Subject: Super webscan open relay check succeded, hostname = <removed>
IN :       .
OUT:       250 OK
IN :       QUIT

Koska roskapostittajat eivät luota suoraan palvelimen antamaan lupaukseen välittää viesti jouduimme tämän ensimmäisen koeviestin välittää itse käsin eteenpäin roskapostittajalle, jotta saimme palvelimen näyttämään oikealta välityspalvelimelta. Emme kuitenkaan missään vaiheessa salli viestien automaattista välittämistä, koska silloin myös roskapostit voivat päästä läpi. Ensimmäisen testiviestin välittämisen jälkeen kului ainoastaan 10 minuuttia siihen, että hunajapurkkiimme alkoi virtaamaan oikeata roskapostia jota roskapostittaja yritti saada välitetyksi uhreille.

Kiinnostava yksityiskohtana mainittakoon että kaikki näiden kyseisten roskapostien vastaanottajat sijaitsevat Taiwanissa. Alla joitain tilastoja roskapostiaallon ensimmäiseltä kolmelta tunnilta:

Kaikkiaan kolmen tunnin aikana vastaanotimme 1008 roskapostia jotka oli yritetty lähettää 12877 vastaanottajalle. Keskimäärin yhdeläl roskapostilla oli noin 13 vastaanottajaa. Eristimme roskaposteista yhteensä 990 uniikkia URL-osoitetta, joka osoittivat joko roskapostilla mainostettuun sivustoon taikka viestin runkoon liitettyyn kuvaan.

Yllämainituista 990 URL-osoitteesta eristimme 878 yksilöllistä DNS RR -tunnistetta (domain-osoitetta).

Kaikki vastaanotetut viestit oli kirjoitettu kiinaksi. Valitsimme satunnaisotannalla yhden roskapostin tarkastelun kohteeksi jotta näimme minkätyyppisistä viesteistä on kyse. Kävimme viestissä olleessa URLissa ja näimme tämän:

Kyseessä on Video CD-levyjä tarjoava sivusto. Arvasimme aluksi että kyseiseltä sivustolta olisi mahdollisesti myyty piraattielokuvia tai vastaavia, mutta käänsimme sivuston silti Googlen käännöskoneen avulla:

“Genuine boxed VCD attached 12 teaching manual”

Otsikon perusteella sivusto tarjoaa erinäköisiä opetusvideoita. Siltä varalta, että Google olisi tehnyt virheen otsikon käännöksessä käännätytimme koko sivuston:

VCD1. Received the court summons, notices, judgments, etc. The first time, how to deal with?
VCD2. Improper financial management刷爆cards, and owe to be debt, card slave how to do?
VCD3. Civil unions should pay attention to, it will have to do? Owe not yet been fraud, how to recover the money was owed?
VCD4. On housing transactions, leasing matters Particular attention should be paid, they can not get the rent or a tenant refusing to move out, how to do?
VCD5. Relating to marriage, divorce, adoption, unclaimed, custody, alimony should pay attention to?
VCD6. Related to cases involved in an accident the attention vehicle damage insurance claims, injury claims
VCD7. On the identity card (original copy) used by Notes? Related instruments (promissory notes, checks) of the relevant laws, lost applications, Movements, invasion and occupation?
VCD8. What circumstances a lawyer must be the best? Resolve their legal problems in three steps
VCD9. Bureau of Investigation by the police or interviews, the transcripts for which we should pay attention right?
VCD10. Books on various reconciliation, cut knot book, undertaking contract, agreement, letter of the law?
VCD11. Husband and wife quarrel, family disputes or domestic violence should be how to deal with?
VCD12. Relating to a variety of writing a will, inheritance of the relevant laws? How to make the best use of the township, the city of the functions of the mediation?

Emme ole nähneet aikaisemmin ylläolevan kaltaisia roskaposteja mutta kyseessä on ilmeisesti kulttuuriero Euroopan ja Aasian välillä. Jatkamme hunajapurkin seuraamista jatkossakin ja julkaisemme lisää tilastoja.