cNotes 検索 一覧 カテゴリ

新しいStorm配布サイト?

Published: 2008/09/03

6月以降目立っているStormWorm関連の情報。通信先になかなか見慣れない国が含まれていたのでメモ。

IPアドレス直指定でいろいろダウンロードしてきます。

 http://213.155.3.32/aff/*.exe
 http://213.155.3.32/aff/dir/*.exe
 http://213.155.3.24/*.*
 http://195.24.77.251/*.* 
 http://216.255.189.211/*.*

とりあえず、いつもの通りStormらしく

  • P2P通信
  • メール送信
  • 不明な通信(?)

などが行われます。P2Pの大量性と上記のように通信相手が決まってますのでネットワーク的な挙動で簡単にブロック対象として抽出できてしまいますが。

ダウンロードされるマルウェアは

こんなの(Storm)や

こんなの(Proxy)ですが、

こんなの(?)も混ざってます。

古いままのものと新しいものを混ぜつつ配布されています。

利用されているホスティングサービス

Hosting UA(AS41665)

ウクライナ(UA)のホスティングサービス「Hosting UA」を利用しているナミビア(NA)の業者。珍しくバーチャルホスティングではなくアドレスブロックの払い出しを受けている業者です。

 inetnum:        213.155.3.32 - 213.155.3.39
 netname:        Kazi
 descr:          Kazi Tofejul
 notify:         ripe@hosting.ua
 country:        NA
 admin-c:        KT1182-RIPE
 tech-c:         KT1182-RIPE
 status:         ASSIGNED PA
 mnt-by:         MNT-HOSTINGUA
 changed:        ripe@hosting.ua 20070807
 source:         RIPE
 AS41665

intercege.com(AS27595)

アメリカのスパム容認業者ですね。マルウェア配信、spamメールやコメントスパム、トラックバックスパムなだありとあらゆるスパム行為をする業者を抱えているようです。ボットの巣窟ともいえます。

 OrgName:    InterCage, Inc. 
 OrgID:      INTER-359
 Address:    810 Oak Grove Road #86
 City:       Concord
 StateProv:  CA
 PostalCode: 94518
 Country:    US
 
 NetRange:   216.255.176.0 - 216.255.191.255 
 CIDR:       216.255.176.0/20 
 NetName:    INTERCAGE-NETWORK-GROUP2
 NetHandle:  NET-216-255-176-0-1
 Parent:     NET-216-0-0-0-0
 NetType:    Direct Allocation
 NameServer: NS10.INTERCAGE.COM
 NameServer: NS11.INTERCAGE.COM
 Comment:    
 RegDate:    2005-09-20
 Updated:    2005-09-20
 

root eSolutions(AS44042)

ルクセンブルグ(LU)のroot eSolutions。ホスティング業者です。

 inetnum:        195.24.72.0 - 195.24.79.255
 netname:        ROOT-195-24-72-0-21
 descr:          root eSolutions
 country:        LU
 admin-c:        AB2814-RIPE
 tech-c:         RE655-RIPE
 status:         ASSIGNED PI
 mnt-by:         ROOT-MNT
 mnt-by:         RIPE-NCC-HM-PI-MNT
 mnt-lower:      RIPE-NCC-HM-PI-MNT
 source:         RIPE
 
 route:          195.24.72.0/21
 descr:          root eSolutions
 origin:         AS44042
 mnt-by:         ROOT-MNT
 source:         RIPE # Filtered

結局、これらのサイトは、

  • 以前から利用されているスパム、マルウェア容認業者
  • 最近までなかなか観測されなかった国の新しいサービス

ということになります。

AS番号的にも4万番台が使われているということでなかなか新しいところではないかと思います。

要は、自分たちに対して甘いところを使ってるってことですね。

[カテゴリ:botnet観察日記]

by jyake