Two Years later -- StormWorm Waledac
Published: 2010/09/12
関連:追跡調査 New StormWorm ドメイン、New StormWorm 3
StormwormからIPアドレス的にはその後のWaledacやさらにその後のZeuSにも関連した220個のドメインの状況です。
- 2007年末~2008年初めの活動時期には数日から数週間の利用で使い捨て、もしくは対策される
- 2008年のバレンタイン後には活動が停止しその後約10ヶ月間すべてのドメインはNXDOMAINのまま
- 2009年クリスマス頃から再度ロシアのIPアドレスがアサインされる
- ただし2009年3月までに、2008年に取得されたものが1年の契約期間終了でexpire
- 直後に再取得。全体の70%が有効な状態。ロシア系。
- 一年後の2009年クリスマス前後から2010年3月ごろまでに順次expireされるが、直後に再取得。
- さらに2010年5~7月頃に再度古いドメインも含め再取得。初期リストの90%が復活
- 2010年9月頃からアサインされているIPアドレスに変化が
これらのドメインや攻撃は、現状も存在するecard、greetingcard、postcard系のスパムへと系譜が続いています。
同一ドメイン名がかなりのロングスパンで再生、終了を繰り返していますが、スパムへの再利用か、もしくは、どこかの研究機関が調査に利用でもしているのかもしれません。(確証なしですが。。。)
現状のIPアドレスは11個に集約されています。
IP | AS | AS Name | 国 |
---|---|---|---|
199.2.137.133 | 3598 | MICROSOFT | US |
216.8.179.24 | 13727 | NextDemension | CA |
208.73.210.28 | 33626 | OVERSEE | US |
64.74.223.44 | 21740 | DemandMedia | US |
64.74.223.45 | 21740 | DemandMedia | US |
8.5.1.32 | 21740 | DemandMedia | US |
8.5.1.33 | 21740 | DemandMedia | US |
8.5.1.35 | 21740 | DemandMedia | US |
8.5.1.44 | 21740 | DemandMedia | US |
8.5.1.46 | 21740 | DemandMedia | US |
8.5.1.47 | 21740 | DemandMedia | US |
2010/4/22ごろからMSのアドレスがアサインされるようになり(NameServerもMSになっている)、9月に対象が広がってリストの23%にMSのアドレスがアサインされているのですが、なにかの対策?検証でも始めたのでしょうか?真実は不明です。
by jyake