MS08-067を悪用するワーム
Published: 2008/11/29
11/21の17:30頃からハニーポットがリクエストを出しまくっているこれがそうだったんですね。なるほど規模は大きいですね。しかもこの数日間で微妙に変化しつづけています。
まぁ、検体そのものの解析については他所に譲るとしまして、気になった点のみ。
http://trafficconverter.biz http://trafficconverter.biz/4vir/antispyware/loadadv.exe http://64.246.48.99/download/geoip/database/GeoIP.dat.gz http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz http://getmyip.co.uk/ http://www.getmyip.org/ http://checkip.dyndns.org/
まず「trafficconverter.biz」についてですが、アドレスが変化し続けた上現在はNXDOMAINになっています。今回のターンは終わりって感じですか。
2008/11/21 17:30〜2008/11/25 03:00 84.16.240.233,84.16.252.73 2008/11/22 03:00〜2008/11/22 09:00 84.16.252.73,89.149.227.196,89.149.241.106,89.149.255.190 2008/11/25 03:00〜2008/11/29 01:00 75.126.142.106 2008/11/29 01:00〜2008/11/29 04:00 72.14.221.191 2008/11/29 02:00〜2008/11/29 03:00 91.203.93.69 2008/11/29 4:00〜NXDOMAIN
最後に使われていた「72.14.221.191」ってBloggerですね。なのでアドレスの所有者はgoogleですね。
Domain Name: GOOGLE.COM Registrar: MARKMONITOR INC. Whois Server: whois.markmonitor.com Referral URL: http://www.markmonitor.com Name Server: NS1.GOOGLE.COM Name Server: NS2.GOOGLE.COM Name Server: NS3.GOOGLE.COM Name Server: NS4.GOOGLE.COM Status: clientDeleteProhibited Status: clientTransferProhibited Status: clientUpdateProhibited Status: serverDeleteProhibited Status: serverTransferProhibited Status: serverUpdateProhibited Updated Date: 18-nov-2008 Creation Date: 15-sep-1997 Expiration Date: 14-sep-2011
しかもtrafficconverter.bizって例のESTDOMAINSじゃないですか、、、Registrantはイギリスの方です。
Domain Name: TRAFFICCONVERTER.BIZ Domain ID: D22305317-BIZ Sponsoring Registrar: ESTDOMAINS INC Sponsoring Registrar IANA ID: 832 Domain Status: serverHold Registrant ID: DI_5540656 Registrant Name: Daniel Adams Registrant Country: UNITED KINGDOM Registrant Country Code: GB Name Server: NS1.FREEFASTDNS.COM Name Server: NS2.FREEFASTDNS.COM Created by Registrar: ESTDOMAINS INC Last Updated by Registrar: KSOERJADI Domain Registration Date: Sat Dec 29 18:50:13 GMT 2007 Domain Expiration Date: Sun Dec 28 23:59:59 GMT 2008 Domain Last Updated Date: Fri Nov 28 19:21:26 GMT 2008
次に「http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz」ですが、途中から「http://64.246.48.99/download/geoip/database/GeoIP.dat.gz」も追加されています。
ただどちらにしろ、このGeoIPのファイルパスは確か3年ぐらい前?のパスで今現在のファイルパスは違います。なので100%失敗します。なので、これは結果的にmaxmind向けのDDoSに攻撃の意味が変化します。
by jyake