cNotes 検索 一覧 カテゴリ

MS08-067を悪用するワーム

Published: 2008/11/29

11/21の17:30頃からハニーポットがリクエストを出しまくっているこれがそうだったんですね。なるほど規模は大きいですね。しかもこの数日間で微妙に変化しつづけています。

まぁ、検体そのものの解析については他所に譲るとしまして、気になった点のみ。

 http://trafficconverter.biz
 http://trafficconverter.biz/4vir/antispyware/loadadv.exe
 http://64.246.48.99/download/geoip/database/GeoIP.dat.gz
 http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz
 http://getmyip.co.uk/ 
 http://www.getmyip.org/ 
 http://checkip.dyndns.org/ 

まず「trafficconverter.biz」についてですが、アドレスが変化し続けた上現在はNXDOMAINになっています。今回のターンは終わりって感じですか。

 2008/11/21 17:30〜2008/11/25 03:00 84.16.240.233,84.16.252.73
 2008/11/22 03:00〜2008/11/22 09:00 84.16.252.73,89.149.227.196,89.149.241.106,89.149.255.190
 2008/11/25 03:00〜2008/11/29 01:00 75.126.142.106
 2008/11/29 01:00〜2008/11/29 04:00 72.14.221.191
 2008/11/29 02:00〜2008/11/29 03:00 91.203.93.69
 2008/11/29 4:00〜NXDOMAIN

最後に使われていた「72.14.221.191」ってBloggerですね。なのでアドレスの所有者はgoogleですね。

   Domain Name: GOOGLE.COM
   Registrar: MARKMONITOR INC.
   Whois Server: whois.markmonitor.com
   Referral URL: http://www.markmonitor.com
   Name Server: NS1.GOOGLE.COM
   Name Server: NS2.GOOGLE.COM
   Name Server: NS3.GOOGLE.COM
   Name Server: NS4.GOOGLE.COM
   Status: clientDeleteProhibited
   Status: clientTransferProhibited
   Status: clientUpdateProhibited
   Status: serverDeleteProhibited
   Status: serverTransferProhibited
   Status: serverUpdateProhibited
   Updated Date: 18-nov-2008
   Creation Date: 15-sep-1997
   Expiration Date: 14-sep-2011

しかもtrafficconverter.bizって例のESTDOMAINSじゃないですか、、、Registrantはイギリスの方です。

 Domain Name:                                 TRAFFICCONVERTER.BIZ
 Domain ID:                                   D22305317-BIZ
 Sponsoring Registrar:                        ESTDOMAINS INC
 Sponsoring Registrar IANA ID:                832
 Domain Status:                               serverHold
 Registrant ID:                               DI_5540656
 Registrant Name:                             Daniel Adams
 Registrant Country:                          UNITED KINGDOM
 Registrant Country Code:                     GB
 Name Server:                                 NS1.FREEFASTDNS.COM
 Name Server:                                 NS2.FREEFASTDNS.COM
 Created by Registrar:                        ESTDOMAINS INC
 Last Updated by Registrar:                   KSOERJADI
 Domain Registration Date:                    Sat Dec 29 18:50:13 GMT 2007
 Domain Expiration Date:                      Sun Dec 28 23:59:59 GMT 2008
 Domain Last Updated Date:                    Fri Nov 28 19:21:26 GMT 2008

次に「http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz」ですが、途中から「http://64.246.48.99/download/geoip/database/GeoIP.dat.gz」も追加されています。

ただどちらにしろ、このGeoIPのファイルパスは確か3年ぐらい前?のパスで今現在のファイルパスは違います。なので100%失敗します。なので、これは結果的にmaxmind向けのDDoSに攻撃の意味が変化します。

[カテゴリ:botnet観察日記]

by jyake