Spammer一直拥有多个“阵地”,在之前的Zhelatin、Waledac盛行的时候,由于他们发邮件方便,Email便成了这些垃圾邮件发送者的最爱,而CanadianPharmacy则是Spam邮件中一个“经久不衰”的话题(http://spamtrackers.eu/wiki/index.php/Canadian_Pharmacy),期间更是诞生出USAPharmacy这种衍生品,当时.cn域名正好也在1元/个地玩推销,于是曾经出现过C..Pharmacy每天更新几百个域名的景观(有机会的话可以查看一下http://ddanchev.blogspot.com/早期数据,当然如果你在大陆的话,由于大陆封了blogspot,跳过吧,不用看的了),而随着09年圣诞节过后Waledac突然无理由的消失,此类邮件总数减少了不少(本来我的测试邮箱一天能收到将近60封垃圾邮件的,现在每天降到了5封左右),如图是近4天收到的垃圾邮件:

本文来自www.sacour.cn 转载注明来源

邮件这条路不好走了,他们当然不会闲着的,于是他们四处寻找那些“疏于管理”的在线论坛,并使用个人资料、论坛帖子来继续发送Spam消息,比如下面这个就是其中一个(一个月多了,6月3日的帖子到现在都没删除):

如果你从上到下点击一次的话,你会发现其实都是转到了:hxxp://iwebadv.com/ifeed/link/1469/forum/tramadol%20online/1/pharma这个网站,这个网站再把你进行二次重定向,转到:
hxxp://www1.truefind42p.co.cc/?p=p52dcWpkaWuHjsbIo22AgXOOipnVbWGWZInT1m6uqI61h8WilnGbk4F5bl%2FVodCjamGOaJhvymbFZZGMoNfF16aqb2eL0qBfpp2toJ1xXp%2FKmcmjV6aWmal1ipbSbWaWW5Saml9pZGeTkpZqWKaemnWcrK3RZ5OVlZWklaClxZnXm6XJjtPJz52cYKXXyJKcoaGmqaadrLKQo83LqKScpJubkp3KoG%2FMapWKxJ6nbaqilJlsaW1qWqyndWqTZJyZYmJla2te2KCUbWGYZJuXlGNvaW%2BLxMZ2dYJfq6GYdXGZXw%3D%3D
这是一个FakeAlert的网站(检测Referrer (http://zh.wikipedia.org/zh-cn/HTTP_referrer ),访问一次即失效,从iwebadv.com连接可以进去),从三个连接进去显示的还都不一样,下为截图:

1

2

3

进去之后,会弹出来一个下载请求,指向:hxxp://www2.realhost46pd.co.cc/hxcl107_2012.php?p=p52dcWpkaWuHjsbIo22AgXOOipnVbWGWZInT1m6uqI61h8WilnGbk4F5bl%2FVodCjamGOaJhvymbFZZGMoNfF16aqb2eL0qBfpp2toJ1xXp%2FKmcmjV6aWmal1ipbSbWaWW5Saml9pZGeTkpZqWKaemnWcrK3RZ5OVlZWklaClxZnXm6XJjtPJz52cYKXXyJKcoaGmqaadrLKQo83LqKScpJubkp3KoG%2FMapWKxJ6nbaqilJlsaW1qWqyndWqTZJyZYmJla2te2KCUbWGYZJuXlGNvaW%2BLxMZ2dYJfq6GYdXGZX4rZppJwoZZ115LQlHbPmcg%3D (检测Referrer、需要从www1.truefind42p.co.cc访问才有效、一次失效)

这是一个名为Security Master AntiVirus的伪杀毒软件

当然不止FakeAlert,老本家也是要出场的,这儿是另一个有SPAM的站点,是一个Blog:

第一个出售xanax(阿普唑仑,一种镇静药物)的连接不像之前连接到FakeAlert,这回它真的连接到了CanadianPharmacy的页面:

得益于.CN域名涨价和管理渐渐严格,现在的SPAMMER使用.CN域名的越来越少了,而且也不会出现以前的那种大批量域名滥用的情景了,说是.CN域名注册数下降,估计有一部分是之前国外那些注册.CN域名来恶意使用的人吧。