cNotes 検索 一覧 カテゴリ

countryfilterによるアクセス制御

Published: 2010/03/21

インジェクション系の攻撃ではなく、ボットの多段ダウンロードで自動実行される命令の一部で利用されていた例です。

このようなURLにアクセスするように命令されます。

 http://193.104.106.51/countryfilter/usonly.php

普通にアクセスすると0byte応答になります。

そこでURLの見たままの意味を信じて、アメリカ経由でアクセスすると

 http://193.104.106.51/countryfilter/yours.exe

にリダイレクトされます。ファイルの正体はこれです。

http://www.virustotal.com/analisis/d574a36fe467fff39a6c1ab5ee59d3e70d709ccf19de1abf76eb6d440e7cedf5-1269113241

(28/42)

 inetnum:        193.104.106.0 - 193.104.106.255
 netname:        TRADEKA
 descr:          TRADEKA spol s.r.o,
 remarks:        Tradeka NL route
 country:        AD

AD = アンドラ公国 。。。ピレネー山中にあるミニ国家。

 route:          193.104.106.0/24
 descr:          Euroaccess IPv4 Route
 origin:         AS34305
 mnt-by:         EUROACCESS-MNT
 source:         RIPE

ということで、このマルウェアはアメリカに存在する(IPアドレスの所有者的に)PCにのみ感染するということになります。

アメリカ限定の意図はわかりませんが、日本の端末はこのルートでは感染しないというわけです。当然日本に設置しているハニーポットではこのマルウェアを収集できません。

[カテゴリ:botnet観察日記]

by jyake