cNotes 検索 一覧 カテゴリ

3bomb.com

Published: 2009/01/23

ちょっと書くの遅れましたが1月の第2,3週から現れている新しいインジェクションURLの一つです。12日には数件だったのが数日であっという間に増えちゃいました。

攻撃内容は相変わらずのアカウントハックがらみのflashplayer等の脆弱性をつく攻撃です。ちょっと毛色が違うのは、レジストラが中国ではないという点です。

   Domain Name: 3BOMB.COM
   Registrar: SPOT DOMAIN LLC DBA DOMAINSITE.COM
   Whois Server: whois.domainsite.com
   Referral URL: http://www.domainsite.com
   Name Server: NS1.DOMAINSITE.COM
   Name Server: NS2.DOMAINSITE.COM
   Name Server: NS3.DOMAINSITE.COM
   Name Server: NS4.DOMAINSITE.COM
   Status: clientDeleteProhibited
   Status: clientTransferProhibited
   Status: clientUpdateProhibited
   Updated Date: 12-jan-2009
   Creation Date: 12-jan-2009
   Expiration Date: 12-jan-2010

1/17 01:01

 3bomb.com/c.js
 ↓
 hhhhzzzss.cn/2/xxxx.htm
 ↓
 count1.51much.com/cnt.php?xxxxxxxxxxxなど
 ↓
 :
 :

1/19 21:09

 3bomb.com/c.js
 ↓
 www.bengchiee.cn/xxx/xx.htm
 ↓
 www.706sese.cn/xxx/xx.htm

1/21 00:59

 3bomb.com/c.js
 ↓
 www.bengchizz.cn/xxx/xx.htm
 ↓
 www.706sese.cn/xxx/xx.htm

IPアドレスはServer4Saleの持ち物です。

 CustName:   Server4Sale
 Address:    1508-11, Caesars Tower, Shahra-e-Faisal
 City:       Karachi
 StateProv:  
 PostalCode: 00000
 Country:    PK
 RegDate:    2008-12-15
 Updated:    2008-12-15
 
 NetRange:   70.38.99.96 - 70.38.99.103 
 CIDR:       70.38.99.96/29 
 OriginAS:   AS32613
 NetName:    IWEB-HD-T1322CL-1521
 NetHandle:  NET-70-38-99-96-1
 Parent:     NET-70-38-0-0-1
 NetType:    Reassigned
 Comment:    
 RegDate:    2008-12-15
 Updated:    2008-12-15

ドメインから、サーバーまで今までのものとはちょっと異なります。ちょっとボットネット寄りになったというか。。。

[カテゴリ:botnet観察日記]

by jyake