cNotes 検索 一覧 カテゴリ

Two Years later -- StormWorm Waledac

Published: 2010/09/12

関連:追跡調査 New StormWorm ドメインNew StormWorm 3

StormwormからIPアドレス的にはその後のWaledacやさらにその後のZeuSにも関連した220個のドメインの状況です。

  • 2007年末~2008年初めの活動時期には数日から数週間の利用で使い捨て、もしくは対策される
  • 2008年のバレンタイン後には活動が停止しその後約10ヶ月間すべてのドメインはNXDOMAINのまま
  • 2009年クリスマス頃から再度ロシアのIPアドレスがアサインされる
  • ただし2009年3月までに、2008年に取得されたものが1年の契約期間終了でexpire
  • 直後に再取得。全体の70%が有効な状態。ロシア系。
  • 一年後の2009年クリスマス前後から2010年3月ごろまでに順次expireされるが、直後に再取得。
  • さらに2010年5~7月頃に再度古いドメインも含め再取得。初期リストの90%が復活
  • 2010年9月頃からアサインされているIPアドレスに変化が

これらのドメインや攻撃は、現状も存在するecard、greetingcard、postcard系のスパムへと系譜が続いています。

同一ドメイン名がかなりのロングスパンで再生、終了を繰り返していますが、スパムへの再利用か、もしくは、どこかの研究機関が調査に利用でもしているのかもしれません。(確証なしですが。。。)

現状のIPアドレスは11個に集約されています。

IPASAS Name
199.2.137.1333598MICROSOFTUS
216.8.179.2413727NextDemensionCA
208.73.210.2833626OVERSEEUS
64.74.223.4421740DemandMediaUS
64.74.223.4521740DemandMediaUS
8.5.1.3221740DemandMediaUS
8.5.1.3321740DemandMediaUS
8.5.1.3521740DemandMediaUS
8.5.1.4421740DemandMediaUS
8.5.1.4621740DemandMediaUS
8.5.1.4721740DemandMediaUS

2010/4/22ごろからMSのアドレスがアサインされるようになり(NameServerもMSになっている)、9月に対象が広がってリストの23%にMSのアドレスがアサインされているのですが、なにかの対策?検証でも始めたのでしょうか?真実は不明です。

[カテゴリ:spam観察日記]

by jyake