Confickerのアクセスするドメインその後

実網上では、DNSクエリと、アドレス解決できた場合は、Webアクセスを試みようとする挙動が見えますが、量は特に多いわけではなく、Webへのアクセスも成功する例が見つけられません。

しかもCではなく、AかBばかりのような気がする。。。

アドレスが引けるドメインの状況をもうちょっと調べてみると、

 4/1用　10403
 4/2用  12595
 4/3用  169
 :
 :
 4/30用 55

のような感じで、最初の二日分は大量にアドレスが存在してますが、3日目以降は非常に少なくなっています。これから準備されるのかもしれませんが。

数万の大半を占めているのが昨日の記事のアドレスブロックがアサインされているドメインで、3日目以降のドメインにはこのアドレスブロックはわずかしかみられません。たまたまTLDとの関係でそうなってる？

で、4/1、4/2のドメインの大半が、１年以上前に作成された古いドメインで、たまたま既に使われているドメインにあたっただけ感がありますが、

ただ、これとか、

 Domain: pmwquuesw.pl is tasted.
 created:                2009.03.26 11:35:15
 last modified:          2009.03.26 11:35:15
 REGISTRAR: vinask

これとかは

 domain:         ptehmdtm.at
 registrant:     UWZI4590205-NICAT
 admin-c:        UWZI4608546-NICAT
 tech-c:         UWZI4608547-NICAT
 nserver:        dns1.conficker-research-project.univie.ac.at
 nserver:        dns2.conficker-research-project.univie.ac.at
 changed:        20090330 11:59:19
 source:         AT-DOM

直前に作成されているので、Confickerのための準備かなぁと思えますね。

[カテゴリ:botnet観察日記]

by jyake