新しいStorm配布サイト?
Published: 2008/09/03
6月以降目立っているStormWorm関連の情報。通信先になかなか見慣れない国が含まれていたのでメモ。
IPアドレス直指定でいろいろダウンロードしてきます。
http://213.155.3.32/aff/*.exe http://213.155.3.32/aff/dir/*.exe http://213.155.3.24/*.* http://195.24.77.251/*.* http://216.255.189.211/*.*
とりあえず、いつもの通りStormらしく
- P2P通信
- メール送信
- 不明な通信(?)
などが行われます。P2Pの大量性と上記のように通信相手が決まってますのでネットワーク的な挙動で簡単にブロック対象として抽出できてしまいますが。
ダウンロードされるマルウェアは
こんなの(Storm)や
こんなの(Proxy)ですが、
こんなの(?)も混ざってます。
古いままのものと新しいものを混ぜつつ配布されています。
利用されているホスティングサービス
Hosting UA(AS41665)
ウクライナ(UA)のホスティングサービス「Hosting UA」を利用しているナミビア(NA)の業者。珍しくバーチャルホスティングではなくアドレスブロックの払い出しを受けている業者です。
inetnum: 213.155.3.32 - 213.155.3.39 netname: Kazi descr: Kazi Tofejul notify: ripe@hosting.ua country: NA admin-c: KT1182-RIPE tech-c: KT1182-RIPE status: ASSIGNED PA mnt-by: MNT-HOSTINGUA changed: ripe@hosting.ua 20070807 source: RIPE AS41665
intercege.com(AS27595)
アメリカのスパム容認業者ですね。マルウェア配信、spamメールやコメントスパム、トラックバックスパムなだありとあらゆるスパム行為をする業者を抱えているようです。ボットの巣窟ともいえます。
OrgName: InterCage, Inc. OrgID: INTER-359 Address: 810 Oak Grove Road #86 City: Concord StateProv: CA PostalCode: 94518 Country: US NetRange: 216.255.176.0 - 216.255.191.255 CIDR: 216.255.176.0/20 NetName: INTERCAGE-NETWORK-GROUP2 NetHandle: NET-216-255-176-0-1 Parent: NET-216-0-0-0-0 NetType: Direct Allocation NameServer: NS10.INTERCAGE.COM NameServer: NS11.INTERCAGE.COM Comment: RegDate: 2005-09-20 Updated: 2005-09-20
root eSolutions(AS44042)
ルクセンブルグ(LU)のroot eSolutions。ホスティング業者です。
inetnum: 195.24.72.0 - 195.24.79.255 netname: ROOT-195-24-72-0-21 descr: root eSolutions country: LU admin-c: AB2814-RIPE tech-c: RE655-RIPE status: ASSIGNED PI mnt-by: ROOT-MNT mnt-by: RIPE-NCC-HM-PI-MNT mnt-lower: RIPE-NCC-HM-PI-MNT source: RIPE route: 195.24.72.0/21 descr: root eSolutions origin: AS44042 mnt-by: ROOT-MNT source: RIPE # Filtered
結局、これらのサイトは、
- 以前から利用されているスパム、マルウェア容認業者
- 最近までなかなか観測されなかった国の新しいサービス
ということになります。
AS番号的にも4万番台が使われているということでなかなか新しいところではないかと思います。
要は、自分たちに対して甘いところを使ってるってことですね。
by jyake