cNotes 検索 一覧 カテゴリ

antimalware09.net

Published: 2008/10/22

数あるFakeアンチウィルスなんですが、人を騙すわけではなくボットが自発的にアクセスに行ってました。

直接みるとこんなページです。

ボットの動きはこんな感じ。

①まず、こんなリクエストを飛ばします。

 http://antimalware09.net/images/xxxxxxx/xxxxxxxx/xxxx2-xxx-xxx-bc8d-xxxxxde.gif

②すると、こんな302応答が返ってきて別のURLへ飛ばされます。

  HTTP/1.1 302 Found..Server: nginx/0.6.26..Date: Tue, 21 Oct 2008 15:15:42 G
  MT..Content-Type: text/html; charset=UTF-8..Connection: close..X-Powered-By
  : PHP/5.1.6..Location: http://stat.antimalware09.net/soft3/common/17.gif..C
  ontent-Length: 0....    

③で、ダウンロード

  GET /soft3/common/17.gif HTTP/1.0..Range: bytes=0-..User-Agent: Internet Ex
  plorer..Host: stat.antimalware09.net....                                   

④その後、確認行為が行われます。

  GET /images/XXXXX/xxxxx657xxxxxxx/xxxx2-xxx-xxx-
  bc8d-xxxxxde.ok?id=17 HTTP/1.0..Range: bytes=0-..User-Agent: Internet 
  Explorer..Host: antimalware09.net....    

⑤この確認行為に対する応答の中身は

 OK

ダウンロードされるファイルには何種類かあるようですが、その選択ルールは不明です。この例では「17.gif」。

ちなみに最後の⑤の確認行為が行われると、①のURLは使用できなくなるようです。それ以後404応答。

ただし①の文字列を適当にいじってやると新たなURLとして有効になります。当然同じように対応する⑤のリクエストを送ると使えなくなります。

まぁ、そんなことしなくても③のURLは直接叩けるので根こそぎさらってみました。

5~9.gif、10~12.gif、14~17.gif、23~28.gifの18ファイルが存在していてそのタイムスタンプはすべて2008/10/22 6:48でした。

ハッシュ値はすべてばらばらですが、全部こんな感じです。

各種ブラックリストには、ちゃんと登録されているようですが、アンチウィルス対応ができてませんね。たぶんマルウェア自体が更新されているせいだと思いますが。

ドメインは中国で取得、即利用開始という最近よく見るパターン

   Domain Name: ANTIMALWARE09.NET
   Registrar: BIZCN.COM, INC.
   Whois Server: whois.bizcn.com
   Referral URL: http://www.bizcn.com
   Name Server: NS1.ANTIMALWARE09.NET
   Name Server: NS14.ANTIMALWARE09.NET
   Name Server: NS3.ANTIMALWARE09.NET
   Status: clientDeleteProhibited
   Status: clientTransferProhibited
   Updated Date: 02-oct-2008
   Creation Date: 02-oct-2008
   Expiration Date: 02-oct-2009

利用されているアドレスは3つ。

218.106.90.227

中国(AS9929)

 inetnum:      218.106.90.128 - 218.106.90.255
 netname:      hefei-qingyi-jiayuan-corp
 country:      cn
 descr:        hefei city
 admin-c:      TC254-AP
 tech-c:       TC254-AP
 status:       ASSIGNED NON-PORTABLE
 source:       APNIC
 route:        218.104.0.0/14
 descr:        CNC Group CncNet
 country:      CN
 origin:       AS9929

58.65.237.49

香港(AS23898)

 inetnum:      58.65.232.0 - 58.65.239.255
 netname:      HOSTFRESH
 descr:        HostFresh
 descr:        Internet Service Provider
 country:      HK
 admin-c:      PL466-AP
 tech-c:       PL466-AP
 status:       ALLOCATED PORTABLE
 mnt-by:       APNIC-HM

77.244.220.134

ロシア(AS35357)

 inetnum:        77.244.220.0 - 77.244.220.255
 netname:        PRIMENET1
 descr:          Allocation for our customer PrimeNet
 country:        RU
 admin-c:        RZT1-RIPE
 tech-c:         RZT1-RIPE
 status:         ASSIGNED PA
 mnt-by:         RZT-MNT

これらのIPアドレスはこんなドメインでも使用されています。

 a-vxp2008.com
 anti-virusxp2008.net
 antimalware09.com
 encountertracker.ws
 mail.a-vxp2008.com
 mail.anti-virusxp2008.net
 mail.antimalware09.com
 mail.antimalware09.net
 mail.encountertracker.ws
 mail.youpornzztube.com 

[カテゴリ:botnet観察日記]

by jyake