Gumblarの情報送信先？

LACさんからGumblarの情報送信先としてこのようなアドレスが情報として出ていましたが、

 216.45.48.66/32
 195.24.76.250/32
 67.215.246.34/32
 67.215.238.194/32

12/6に、送信元がGumblarの感染端末なのかどうかははっきりしていないのですが、gumblarと全く同じフォーマットでここにも情報を送信している事例がごくわずかですがありました。

 94.229.65.174

 inetnum:        94.229.65.160 - 94.229.65.191
 netname:        LIMIT-SUREHOST-IP-3
 descr:          LIMIT SUREHOST IP RANGE 3
 country:        RU
 admin-c:        AAS188-RIPE
 tech-c:         AAS188-RIPE
 status:         ASSIGNED PA
 mnt-by:         UKSERVERS-MNT
 source:         RIPE

ホスティングサービスで使われているアドレスで、アドレス的にはスパム系でかなり札付きのアドレスのようで、、、、、

他にも関連するような新しいアドレスがないか継続解析中です。

ふと思い出したのは、たしか10/23のFireeyeの情報にも、

http://blog.fireeye.com/research/2009/10/gumblar-not-gumby.html

別のアドレス情報がありましたね。

 67.212.81.67

これもなんだったのでしょう。

[カテゴリ:インジェクション観察日記]

by jyake