countryfilterによるアクセス制御
Published: 2010/03/21
インジェクション系の攻撃ではなく、ボットの多段ダウンロードで自動実行される命令の一部で利用されていた例です。
このようなURLにアクセスするように命令されます。
http://193.104.106.51/countryfilter/usonly.php
普通にアクセスすると0byte応答になります。
そこでURLの見たままの意味を信じて、アメリカ経由でアクセスすると
http://193.104.106.51/countryfilter/yours.exe
にリダイレクトされます。ファイルの正体はこれです。
(28/42)
inetnum: 193.104.106.0 - 193.104.106.255 netname: TRADEKA descr: TRADEKA spol s.r.o, remarks: Tradeka NL route country: AD
AD = アンドラ公国 。。。ピレネー山中にあるミニ国家。
route: 193.104.106.0/24 descr: Euroaccess IPv4 Route origin: AS34305 mnt-by: EUROACCESS-MNT source: RIPE
ということで、このマルウェアはアメリカに存在する(IPアドレスの所有者的に)PCにのみ感染するということになります。
アメリカ限定の意図はわかりませんが、日本の端末はこのルートでは感染しないというわけです。当然日本に設置しているハニーポットではこのマルウェアを収集できません。
by jyake