マルウェアホスティングの観察記録
Published: 2007/12/31
Malware Block List(http://www.malware.com.br/)で公開されているURLに該当するIPアドレス(取得日時:20071230133156UTC、ユニークURL数:1,313、ユニークIPアドレス数:541)と、ハニーポットでのマルウェア収集時のリモートホストのIPアドレス(期間:2007/3/1〜2007/12/29、ユニークIPアドレス数:560,708)との比較を行った。IPアドレスベースで17アドレスが一致し、Malware Block Listに掲載されているURLは下記の20個であった。
http://209.44.98.218 http://85.114.140.107/~grander http://acompanhantes.privesex.googlepages.com http://ads.z-quest.com/ax http://amelia10.50webs.com http://contactmembersgroup.googlepages.com http://j27.a922.wrs.mcboo.com http://members.lycos.co.uk/kerio230588 http://n26.a572.wrs.mcboo.com http://plug.sitesled.com http://sad8.interfree.it http://software.topinstalls.com/june http://web.cplnn.com http://www.affiliates.topinstalls.com/files/programs http://www.box.net/shared/static http://www.download4money.com/files/programs http://www.freewebtown.com/megaemail http://www.mimundo.americaonline.com.mx/comeonetbspfile http://x22.a616.wrs.mcboo.com http://x22.a904.wrs.mcboo.com
ハニーポットでのマルウェア収集時の利用ポートは99%以上が80/tcpを利用しており、収集マルウェアは延べ39,611検体に及ぶ。同検体は、収集時の最新パターンファイルを用いたアンチウイルスソフトの検出結果から、約67%が検出できず、TROJやTSPYといったタイプがほとんどであった。
別途調査では、Malware Block Listには単にマルウェアをホスティングしているだけでなく、ブラウザの脆弱性を攻撃してマルウェアに感染させるURLも含まれており、マルウェアが自身をアップデートしたりする目的だけでなく、スパムメールやトラックバックURLによる誘導先サイトとして新規に感染者を増やす目的があることも忘れてはいけない。
by 32htd