大量のDNSクエリの発生 関連
Published: 2007/10/15
jyake > 10/8の21:00ごろから大量のDNSクエリを発生させる新種?botnet利用?が発生しています。
との報告をもとに、その前後からハニーポットで収集されるようになった検体を探ってみたところ、大規模な感染拡大をしているわけではないが、ある程度の感染活動を行っているものが発見された。10/8以前には同検体は収集されておらず、10/14には収集されていない。
| 年月日 | 収集数 |
|---|---|
| 2007-10-08 | 24 |
| 2007-10-09 | 119 |
| 2007-10-10 | 132 |
| 2007-10-11 | 160 |
| 2007-10-12 | 195 |
| 2007-10-13 | 139 |
同検体が収集される時刻前後で、下記の検体が収集されており、下記の報告にも合致するものである。
jyake > 1. 感染後連続して5、6個のMalwareをDownloadする。(ただしdownloadしようとするMalwareの一部が存在しない)
| ファイル名 | ウイルス名(10/13時点)またはSHA1SUM |
|---|---|
| C:\WINNT\Temp\winwjqbk.exe | TROJ_DLOADER.HGW |
| C:\WINNT\Temp\winltkluh.exe | TROJ_AGENT.KJI |
| C:\WINNT\Temp\winxkso.exe | a93499a9b4fbce8e9b5873d18aa7c046557f3113 |
| C:\WINNT\system32\winresponse32.exe | 99161485f5c60cde912eea223ebc3e33e45bae09 |
| C:\WINNT\Temp\wingiaku.exe | a084eae04f0bc6fd2169528089575c4dbc7008c5 |
| C:\WINNT\Temp\winxfeglr.exe | TROJ_HORST.EE |
| C:\WINNT\Temp\winuleip.exe | d0cb87918ddd10b2ac7568fc560bd25d7bee818d |
by 32htd