マルウェアホスティングの観察記録

Malware Block List(http://www.malware.com.br/)で公開されているURLに該当するIPアドレス(取得日時：20071230133156UTC、ユニークURL数：1,313、ユニークIPアドレス数：541)と、ハニーポットでのマルウェア収集時のリモートホストのIPアドレス(期間：2007/3/1〜2007/12/29、ユニークIPアドレス数：560,708)との比較を行った。IPアドレスベースで17アドレスが一致し、Malware Block Listに掲載されているURLは下記の20個であった。

 http://209.44.98.218
 http://85.114.140.107/~grander
 http://acompanhantes.privesex.googlepages.com
 http://ads.z-quest.com/ax
 http://amelia10.50webs.com
 http://contactmembersgroup.googlepages.com
 http://j27.a922.wrs.mcboo.com
 http://members.lycos.co.uk/kerio230588
 http://n26.a572.wrs.mcboo.com
 http://plug.sitesled.com
 http://sad8.interfree.it
 http://software.topinstalls.com/june
 http://web.cplnn.com
 http://www.affiliates.topinstalls.com/files/programs
 http://www.box.net/shared/static
 http://www.download4money.com/files/programs
 http://www.freewebtown.com/megaemail
 http://www.mimundo.americaonline.com.mx/comeonetbspfile
 http://x22.a616.wrs.mcboo.com
 http://x22.a904.wrs.mcboo.com

ハニーポットでのマルウェア収集時の利用ポートは99%以上が80/tcpを利用しており、収集マルウェアは延べ39,611検体に及ぶ。同検体は、収集時の最新パターンファイルを用いたアンチウイルスソフトの検出結果から、約67%が検出できず、TROJやTSPYといったタイプがほとんどであった。

別途調査では、Malware Block Listには単にマルウェアをホスティングしているだけでなく、ブラウザの脆弱性を攻撃してマルウェアに感染させるURLも含まれており、マルウェアが自身をアップデートしたりする目的だけでなく、スパムメールやトラックバックURLによる誘導先サイトとして新規に感染者を増やす目的があることも忘れてはいけない。

by 32htd