@techreport{oai:ipsj.ixsq.nii.ac.jp:00047151,
 author = {松葉, 龍一 and 武藏, 泰雄 and 杉谷, 賢一 and Ryuichi, Matsuba and Yasuo, Musashi and Kenichi, Sugitani},
 issue = {37(2003-DSM-032)},
 month = {Mar},
 note = {熊本大学のトップドメイン-セカンダリDNSサーバのsyslogについて統計解析を行った。我々の得た興味深い結果は以下の通りである: (1)大量メール送信型ワームに感染したPC端末はワーム活動中にAおよびMXレコードパケットをDNSサーバへ送信する。(2)乗っとられたUNIX系のPC端末等はspamリレー活動中にA、MXおよびPTRレコードをDNSサーバへ送信する。以上の結果、DNSサーバのログを監視するだけで大量メール送信型ワームに感染したPC端末を検知可能であることが示された。), The syslog messages of the topdomain-secondary DNS server in Kumamoto University were statistically investigated when infection of mass mailing worm (MMW) like W32/Sobig, W32/Mydoom, and W32/Netsky were increased worldwidely. The interesting results are: (1) The MMW-infected PC terminal sends packets including only both A and MX records to the DNS server when going on MMW-infection. (2) The hijacked/UNIX-like PC terminal transmits packets including A, MX, and PTR records to the DNS server in a spam relay. Therefore, we can detect MMW-infected PC terminals by only monitoring the DNS query traffic from the DNS clients like PC terminals.)},
 title = {DNSサーバのsyslog解析による大量メール送信型ワーム感染端末IPアドレスの特定},
 year = {2004}
}