cNotes 検索 一覧 カテゴリ

dnschanger

Published: 2012/07/08

とあるNWの感染端末の通信先を調べてみました。

不正なDNSのアドレスレンジはこれらということでしたが、

 85.255.112.0 - 85.255.127.255
 67.210.0.0 - 67.210.15.255
 93.188.160.0 - 93.188.167.255
 77.67.83.0 - 77.67.83.255
 213.109.64.0 - 213.109.79.255
 64.28.176.0 - 64.28.191.255

観測されるのは上記のアドレスレンジのなかで2ブロックだけ。

IPを見てみるとこんな感じ。

 85.255.112.11
 85.255.112.13
 85.255.112.14
 85.255.112.142
 85.255.112.149
 85.255.112.223
 85.255.113.114
 85.255.113.146
 85.255.113.92
 85.255.115.19
 85.255.115.235
 85.255.115.38
 85.255.115.5
 85.255.115.52
 85.255.115.53
 85.255.115.74
 85.255.115.93
 85.255.116.114
 85.255.127.4
 93.188.160.126
 93.188.161.233
 93.188.162.233
 93.188.163.182
 93.188.163.185
 93.188.166.182
 93.188.166.185

感染端末がどれだけ残っているかどうかはわかりませんが、7/9にDNSの運用が終了したきにはじめて通信障害で気づいて、ISPのサポートに対応してもらって回復するけど、結局最後までマルウェア感染ということを理解せずおわる人たちが多いのかなぁと思うと、若干悲しい?まぁそんなことを理解せずとも安全につかえるネットになるのが一番いいのでしょうが。。。。。

[カテゴリ:botnet観察日記]

by jyake