UnderForge of Lack

余談：

martuz.cn に変わったので何が変わったのか挙動をみてみることにしました

が・・
検体取得できない（泣

Win2k の VMスナップを10個くらい吹き飛ばして、ようやくクエリ発行したら

hXXp:／／martuz.cn／vid／?id=568835

！？　なんだそのＩＤは　という数値で返ってきました

ショウガナイので、友人の XP でやってもらったけど、やっぱりダメっぽい。
というわけで IRC 経由で貰っちゃった（笑）

martuz1upx.exe : 17920 Bytes UPX
MD5: b76359a9e8345845b70fbfef2ba6d7bd
SHA-1: af82be2a128cf76cd2b32a8d43085946d684d474

martuz_cn_id10_20090516.exe -- 2009.05.16 6/40 (15.00%)

Analysis Report for martuz1upx.exe

挙動的にはいつもと一緒ですね

自己抹消用のバッチが e.bat になってるくらいかな・・？
もちろん sqlsodbc.chm を改変する部分も変わりません。
AUX = rohkor.ebu

Trojan:Win32/Daonol.D [Microsoft]

AUX = に埋め込まれる本体が完全にランダムなのが改めてよくわかります。
bkthxwj.dqy

この MSの検出名は Generical っぽいですが、Sophosのシグネチャが一番それっぽい気がします。

Troj/Daonol-Fam


---------

VM環境下で .exeを実行してみました
検体は上のやつ from martuz.cn


exe実行！


うーん、警報もなく素通し・・・これはヤバイ（笑）
spybot の TeaTimerが ヒステリックモードになってるはずなのに、見事にすり抜けました。


そして・・・・



なるほど、svchostじゃなくて、直接 IEを操作してるのか・・そりゃ判らないわけです。

この後、RegEditを開こうとしたら、タスクバーごと消えてハングアップ・・・

やばそうなのでスナップショット戻しました（笑）


Vista環境下では、現在の検体では感染できない模様（いくら UAC OKを押しまくっても、そもそもレジストリが違う）

以上、テスト結果でした。


あと、生成された AUX=に登録されるトロイ本体：

MD5: B53959E27A14D488B81C81E691E70D26
Trojan:Win32/Daonol.D


sqvuvmr.xcq -- 05.16.2009 5/40 (15.00%)

Sophosは I WIN ! なんていうだけの事はありますね（笑）

-----------------
感染した人のウィルスチェックが働かないわけだ・・・


感染状態でサンドボックス内に放置していた Windows2000 VM ですが、

６時間で２回、トロイ本体である AUX=xxxxx.xxx を自己書き換えしています。

最後に変更されたものはこんな感じです。


lgifjsu.bsw -- 05.17.2009 1/40 (2.5%)

Microsoftは検出してますけど、 Windows UPDATE （何故か起動する）しても MSRTでは検出できません（当たり前ですが）


なんかもうイヤになってきた（苦笑）

------------------
とにかくヒドい・・

何がひどいかといえば、何か設定を変えるたびに、カリブ海も真っ青な BSoD が発生。
あぁ・・海いきたい・・・

とうとう、毎回 BSoD で吹っ飛んで何もできなくなりました

ひょっとしたら Task が VMwareService.exe の存在を検知してるのかもしれない
（VMwareTrey から sqlsodbc.chm への WRITE が飛んだのは確認済み）

ちなみに何かの通信を行っているのは
95.129.145.57
martuz.cn : 95.129.145.58
すくなくとも、この２つのIPは完全に悪意を持った何者かに操られています。

もう後は、セキュベンダーに任せましょうか～


------------------
なんかもう、現実逃避モードでウィルスの挙動を見ています。
ニーチェの言葉が頭をよぎる（笑）


謎なのは、aux="xxxxxxx.xxx" に登録された存在が何かのタイミングで戻ってくることがあるという話

Computer help: troj/daonol-fam
Can anyone suggest how I can get rid of this trojan. I am running windows xp. I run sophos and it picked up the trojan, sophos cleaned it but it just seems to return.

そんなことはないと思うんだけど・・


あと、 BSoD になる理由が判明

ユーザ認証直後に 95.129.145.57 へ何らかのアクセスに失敗すると・・・？


強引に explorer.exeをクラッシュさせてる様子

これってアレだ・・

どこまでいやらしいんだオマエハ・・・・

8f8el3l.cn	BLOCKED	785	118.123.11.29
qvoev323.cn	BLOCKED	137	118.123.11.29
5u66j.cn	BLOCKED	1030	59.34.197.150
chulaiba.net	BLOCKED	494	61.191.61.22
	AS4134	CHINA-TELECOM

中国系：その他

まだ不確定、不明瞭なものが多いですが、いつものことですね・・・

vipcctv-2.cn (No Valid A rec)
www.vipcctv-2.cn

58.222.25.234 : AS4134 www.cfqq1.com
cfqq1.com
収容されているドメイン群：
全 Safe 判定


www.dnfst.com (No Valid A rec)

97.74.144.12 : AS26496 PAH-INC Go Daddy Software, Inc.
www.taobaodanbao.cn
収容されているドメイン群：

121.199.253.191 : AS38356 TimeNet BeiJing
w2if.cn
www.w2if.cn
収容されているドメイン群

59.63.157.64 : AS4134 www.0105568.cn
0105568.cn
収容されているドメイン群

222.215.230.11 : AS4134 www.cp965.com
cp965.com

61.191.191.140 : AS4134 www.dnf25.com／xz／wg560・rar

114.80.100.180 : AS4812 Shanghai Telecom Company
www.889wg.com／down／dnfwg・rar

60.169.2.171 : AS4134 vip.wg611.com／wg611・exe
収容されているドメイン群

98.126.35.26 : AS35908 (?) as VPLS Inc. d/b/a Krypt Technologies
www.hddvd520.com／updata・exe
Malicious software includes 2 scripting exploit(s), 1 trojan(s).

焼却炉の掃除もできない・・・

この２週間というもの、 MDL登録数が半端じゃない数になってて、傾向が読みにくいったらありゃしない！

Malware 作者さん。そろそろ休肝日を設けてくださいよ（違）


-------------------------
ZeuS/Zbot系
-------------------------


新顔で出てきたのは

焼き済みなのは相変わらず

傾向として、sk(スロバキア）への単体分散傾向が見られることかな？



-------------------------

Phirash (Phising Flash Player)

contempt.fileave.com : 64.62.181.43

countbe.com : 213.168.64.81 (DNSChanger)
countdesign.com : 同上


変なトコの Flash インストーラに気をつけましょう。



--------------------------

zlkon系の模倣

litetopseeksite.cn : 70.85.142.250
ドメインは数え切れません（苦笑）

このホスティングを行っている（と思われる） The Planet Internet Services, Inc. は前から怪しかったのですが、ここ数週間はかなり暴れまくっています。

焼くにしては範囲広いし・・難しいところです・・（管理甘いんだろうナ）



--------------------------
ってとこで時間切れ・・

はい、ちょっと数すくないですけど、適当に・・


Flash Player 関連は１個 Article出したので、こっちには書いてません。


----------
69.31.80.179 : Vundo
初出


----------
91.207.61.47 : zeus/wsnpoem
16 Mar, 2009


----------
91.212.41.236 : starts download of Rogue
焼却炉


----------
219.148.34.10 : Malware calls home
初出
219.148.34.　では 7-10までが少しひっかかりますので 219.148.34.10/24で


----------
218.10.18.76 : Malware calls home
初出：単独IP
だいたいこんなURLを踏む時点でどうかしてますよ
163.fuckunion.com/286/soft/163●exe
count.fuckunion.com/cnzz/update●txt
google.netcdn.com/cao/cao●exe
laspzx.linan.gov.cn:88


----------
64.94.162.244 : ADware
初出：単独IP


----------
69.64.33.242 : Fake AV
初出：単独IP
69.64.系が今度は 69.64.33. にやってきました。
とりあえず単独でしか見当たりません
※ Fake AV はウィルスと違って長時間放置されるケースが多いんですよね・・


----------
174.132.250.194 : Fake AV
初出：単独IP

ドメイン洪水がすごい（笑）
antivirus360remover.com
av360removaltool.com
malwarebot.org
malwaree.com
malwaree.org
remove-a360.com
remove-antivirus-360.com
remove-av360.com
remove-ie-security.com
remove-malware-defender.com
remove-ms-antispyware.com
remove-personal-defender.com
remove-spyware-guard.com
remove-spyware-protect-2009.com
remove-spyware-protect.com
remove-system-guard.com
remove-total-security.com
remove-ultra-antivir-2009.com
remove-virus-alarm.com
remove-virus-melt.com
remove-winpc-defender.com
smitfraudfixtool.com
vundofixtool.com

remove ie security って・・あながち間違ってもないか（苦笑）


----------
61.139.126.53 : Exploits / Trojan
NicoVedeo でおなじみです：

61.139.0.0 - 61.139.127.255
MAINT-CHINANET(CHINANET-SC) CN

ここは積極的に日本をターゲットにしていますので気をつけましょう。


----------
ほかにもいっぱいありましたが、時間切れ
夜くらいにひょっとしたらまた整理するかもしれません。

MDL Mar.21 2009 part2

-------------------
69.4.32.137 RFI

前半でも出てきた RFI(Remote File Inclusion) 攻撃が多発しています。

hXXp://malicious.code.com/C99.txt?archive.php のような形で PHPを呼び出すため、気がつきにくいという難点があり、.txtをアップロード許可しているところは多いため、分散攻撃に使用されています。


77.221.154.138
125.163.251.219
213.136.106.214
62.140.23.135
118.45.190.166
69.4.32.137
205.234.197.40
84.244.138.115
以下延々と続く・・・

という感じで、まったく整合性が掴めません。

初出が 3日ほど前ですので、おそらくまだあまり周知されていないものと思われます。注意が必要です。



-------------------
64.86.16.8 Exploits

bulkbuyinc.cn
numbersbulk.cn
trydirectjob.cn

典型的な .cn ドメイン洪水です。

初出 CANADA BRAMPTON

前科は 09/02/11 より、 64.86.16 ではこの IP しかひっかかりません。
近いものに
09/03/05 64.86.17.9 Rogue
があります。

とりあえず 単独で様子見でしょうか？

-------------------
216.152.240.12 Searchmiracle.Elitebar

c4tdownload.com Searchmiracle.Elitebar

EliteBarと呼ばれる、トロイ内蔵型ツールバーです。

過去にも配布例がありますので、隣も塞いでおいたほうがいいかもしれません

216.152.240.11 elitebar


-------------------
174.132.88.66 redirects to exploits

初見です。

単独かな～


-------------------
78.109.30.200 redirects to exploits

また君か・・

78.109.16.0/20 (78.109.16.0 - 78.109.31.255)
Datacenter Hosting.UA Ukraine -- Botnet C&C (gumblar)


-------------------
91.212.65.19 fake codec / Trojan
91.212.41.100 obfuscated iframes redirect to fake antivirus

はいはい・・

91.212.41.0/24
gaztranzitstroyinfo-net Russian/PETERBURG -- ZeuS(ZBot)
91.212.65.0/24
EUROHOST-NET Ukraine -- ZeuS(ZBot)

-------------------
98.149.80.234 redirects to Exploits

現在のところ、単発です。


-------------------
209.44.126.22 Rogue Winwebsec

元気ですね・・・

209.44.126.0/24 CA


-------------------
69.46.25.35 Malware calls Home

はいはいっと

69.46.0.0/19 (69.46.0.0 - 69.46.31.255)
Virut/Virux - 2009.02.14
HIVELOCITY VENTURES CORP USA


-------------------
77.221.154.138 redirects to exploits

あんまり見なかった IP です。 DATAPOINT-NET4 RUSSIAN/SAINT PETERSBURG
いつものような .cn 洪水攻撃・・・見たいですか？　私は見たくないんだけど・・・・

bestlotron.cn
denverfilmdigitalmedia.cn
filmtypemedia.cn
perfectnamestore.cn
nameashop.cn
mediahomenamemartvideo.cn
playbetwager.cn
finditbig.cn
nanotopdiscover.cn:8080
litegreatestdirect.cn
betbigwager.cn
liteautotop.cn
cutlot.cn
hotslotpot.cn
mediahousenameshopfilm.cn
lotmachinesguide.cn
superbetfair.cn

多すぎだろ！！！！！

隣の /24 IP : 77.221.153 にも zeus の攻撃報告がありますので、範囲焼却

77.221.153.0/23 (77.221.153.0 - 77.221.154.255)


-------------------
193.41.174.99 redirects to exploits

初見です。過去歴もありません。
が、

GERKON-UA 193.41.172.0 - 193.41.175.255

判断はおまかせします（笑）


-------------------
200.219.224.48 redirects to Exploits

初見です。過去歴もありません。 Comdominio Solutiones de Tecnologia S/A. (ブラジル)

今日の一番のヒット作かもしれません。

duplaouroeprata.com.br/image/tmp/36/how-to-use-a-condom.php


-------------------
194.165.4.77 Trojan / Fake AV

既出すぎますね

194.165.4.0/23 (194.165.4.0 - 194.165.5.255)
Trojan and Fake AV -- 2009.05.15
NTColo Networks Ukraine



以下既出IPが多くて、時間切れ（笑）



RFIの件は本記事たてたほうがいいかなぁ・・とは思いますが

2009/05/21

-------------------
89.149.221.74 Redirect fake codec
89.149.221.xxxでの前歴は見当たらず。
単独かな？
所在地は Germany になっていますが、直前がUSAなので、所在地偽装されている可能性が高いです。

しかし、
internetserviceteam.com
という名前で過去に

05/20 78.159.98.91
05/17 78.159.98.147
05/07 78.159.99.224
05/20 78.159.112.146
05/17 78.159.122.197
05/19 84.16.244.113
05/19 84.16.244.114
05/17 89.149.212.139
05/18 89.149.226.123
05/18 89.149.236.39
05/17 89.149.241.108
05/20 212.95.58.49 ベルギー
05/20 212.95.58.156 ベルギー
05/20 212.95.63.22 ベルギー
05/20 212.95.63.230 ベルギー

これだけ荒らしてくれてます。

これだけバラけてると弾きにくいですね・・・
ちなみに 78.159.112 は、jii.be の件で焼却済み

単独リストをたくさん登録できるところは、このリスト単独で。
できないところは、 見慣れない Codecへのインストールに注意してください。

----------------------
203.174.83.75 Rouge

前科無し 203-174-83-75.rev.ne.com.sg (シンガポール)

レジストラ登録Mail アドレスで検索すると
78.46.216.235

78.46系は若干大目に引っかかりますが、78.46.216は単独なので、とりあえず単独で様子見しましょう。

---------------------
91.212.41.111 LuckeySploit

はいはいいつもの子ですねぇ・・

---------------------
69.64.67.194 Malware calls home

探すとそこそこ引っかかる 69.64系ですが、69.64.67.xxxではこれしか引っかかりません。
米国内を引き回されてから Canadaに飛ばされています。

逆引きに出てくる dedicated.abac.net で検索すると

09/04/20 69.64.92.70
09/03/21 216.55.161.201
08/10/10 66.226.75.10
08/10/06 216.55.142.115
08/03/24 206.225.94.32
08/03/16 216.55.181.94
あたりが引っかかりますが、範囲飛びすぎ・・・・

とりあえず単独で様子見です。

---------------------
78.109.29.112 Malware calls home

上記のミラーと思われる IPです。

78.109 は、例の ZeuS-Zbot の範囲に含まれますので、焼いているのでは？
78.109.16.0/20 (78.109.16.0 - 78.109.31.255)
Datacenter Hosting.UA Ukraine -- Botnet C&C (gumblar)

---------------------
94.75.234.35 Trojan-Downloader.Tracur

hosted-by.leaseweb.com Netherlands
やぁ、どこかで会いましたね～

94.75.192.0/18 (94.75.192.0 - 94.75.255.255)

85.17.141.20 もリストに挙がっています（焼却済み）

---------------------
78.109.30.200 redirects to exploits

どうもこのIP群は鬼門ですね

78.109.16.0/20 (78.109.16.0 - 78.109.31.255)
Datacenter Hosting.UA Ukraine -- Botnet C&C (gumblar)


---------------------
64.111.197.86 redirects to exploits

わりと初見っぽい・・ WEEHAWKEN

94.111 系は少しひっかかりますが、今年に入ってかかったのは

09/05/19 64.111.196.206 windownloading.com : Rogue のみです

この２つの単独焼きで様子見です


---------------------
70.38.99.97 redirects to rogue

初見です

過去は

09/04/21 70.38.113.156
09/03/12 70.38.73.26
09/03/09 70.38.99.97

70.38ではコレしかひっかからないので、この４つだけ単独かなぁ？


---------------------
61.164.108.35 Trojan / Exploits

なんか大量のページに悪意コード埋ってるっぽいですが

前歴は

61.164.108.99
61.164.108.60
61.164.108.99
61.164.109.27

すこしバラけています。

TraceRoute を打っても帰ってきません。4t6nhh.6600.org という org ドメインにもかかわらず、中国国内のようです。

とりあえず 61.164.108.35 の単独焼きか、 61.164.108.0/24 あたりかな


---------------------
209.66.123.93 Trojan / Exploits

初見ですが、ドメインが adult-mpeg.net の時点で「あぁ・・ソッチ系ね」と納得してしまう（笑）UNITED STATES WHITE

209.66.123.72 Trojan / Exploits : movies4you.info
同朋


---------------------
62.140.23.135 RFI(remote & local file inclusion)

初見っぽいのですが、過去に

08/09/02 62.140.23.68
08/09/01 62.140.23.79
08/08/15 62.140.23.49
08/08/07 62.140.23.20

という同様の RFI の報告がありますので
62.140.23.0/24 で焼却


--------------------
91.212.132.11 rogue PrivacyCenter

はいはいいつも・・アレ？　範囲ズレてる（苦笑）-- SE(セルビア共和国)

過去歴は 91.212.132.10

ありますので

とりあえず この２つで様子見です。


--------------------
93.190.142.135 redirects to Rogue

05/20のレポートで

09/05/20 93.190.142.133
09/05/20 93.190.142.142
09/05/20 93.190.142.141
09/05/20 93.190.140.56 (**)
09/05/04 93.190.140.49
09/04/07 93.190.140.135

となっています。 Netherlands

ワンダリングしている感じですので、 93.190.142.0/24 は焼却処分、93.190.140.56は単独で様子見をしてみましょう。


-------------------
118.45.190.166 RFI

初見っぽいですが、悪意ファイルが zeus1.txt っていうのが気持ち悪い・・・ KR(韓国）

tracerouteに反応がありません。

範囲なら 118.45.190.160-118.45.190.191 です


-------------------
75.181.10.124 Malware, Exploits, Virus(Sality)

09/05/03 あたりからマルウェアを撒き散らしていたようです。


他の範囲にはなにもないので、単独で。


-------------------
213.182.197.8 Directs to DNSChanger

213.182.192.0 - 213.182.223.255
JUNIK Riga Network Latvia　範囲内


-------------------
195.2.253.241 Winwebsec

195.2.252.0/23 (195.2.252.0 - 195.2.253.255)
MADET-NET RU　範囲内


-------------------
202.102.135.30 Winwebsec

初出 UNICOM-SD

前科は 202.102.135系はこれだけです



今日は数おおすぎっ！

ちょっとこの辺で中断します。

I LOVE MALWARES

「アンタ実はマルウェア好きだろ？」とか言われて落ち込んでます。
そんなわけない・・・と思う・・タブン

身内用です。

** 注意 **
このポストはあくまでも個人的な予防です。すべてのサイトの感染を確認したわけではありません。

ブロックしろと頼んでいるわけではありません
というかブロックしないでください。

すべては自己責任の範囲でお願いします
** /注意 **


＠16 Mar, 2009

----------------
60.29.232.31

いつもの luckeySploit系ですが、今回は正真正銘、中国領土内
最近珍しいですね

前科は
60.29.232.31
60.29.232.32
しか引っかからないので、単体もしくは /24 でいいと思われます。

一応：
CNCGROUP Tianjin province network CN
CNC Group CHINA169 Tianjin Province Network : 60.28.0.0/15 デカイ・・


----------------
78.47.91.153

これもいつもの Fake AV

78.47.91.152 - 78.47.91.159
SIARHEI-SHANDROKHA Germany

78.47系の前科は結構出てきますね
78.47.91.153 (多数)
78.47.132.216 2009.05.12
78.47.132.220
78.47.132.221 2009.05.02
78.47.172.66
78.47.176.51
78.47.186.162
78.47.201.43
78.47.222.220
78.47.248.113

78.47.132.216 および 78.47.132.221 は
78.47.132.216 - 78.47.132.223
Alexey Terentyev Germany

大元はドイツでもかなり巨大なISP Hetzner Online AG です。

また、確証はありませんが
93.174.93.34
と同一人物（組織）

93.174系は
93.174.92.66 (2008/07/05) Trojan-Downloader.Agent.ufv
93.174.93.164 (2009/05/13) Trojan.Downloader.Loadadv.ACE
93.174.93.213 (2009/02/26) Rogue


----------------
83.133.123.140
fraudulent payment system (詐欺・架空請求)

83.133 系もけっこう出てきますね

５月に限って言えば
83.133.118.67 (05/04 trojan Pinch)
83.133.123.140

また、少し前まで 83.133.123.166 で MalwareやらRogueソフトやらの報告があります。

83.133.96.0 - 83.133.127.255
Greatnet New Media. Germany
ちょっと焼きすぎ（笑）

83.133.123.0/24 でいいんじゃないでしょうか？

----------------
qq.com レジストラの Trojan
レジストラ登録のメアドが xxxxxxx@qq.com のトロイ攻撃も活発化しています。

95.129.145.30 (05/15 Rogue)
95.129.144.228 (05/15 Fake Codec)
95.129.144.236 (05/14 Fake AV)
95.129.144.244 (05/14 Trojan)
95.129.144.12,13 (04/10-05/12 色々)

まぁ多彩ですね・・

95.129.144.0 - 95.129.145.255 (CIDR:95.129.144.0/23)
Ventrex LLP UK
ちょうどこの範囲に収まるので、クロかもー？ということにしておきましょう。

この qq.com による取得レジストラの攻撃でヒドイのは
121.12.123系です

121.12.116.4 (***)
121.12.116.48
121.12.116.68
121.12.116.82 (***)
121.12.116.95 (***)
121.12.116.97 (*)
121.12.116.106

121.12.123.105
121.12.123.114

121.12.169.219

121.12.173.18

MAINT-CHINANET CN
121.8.0.0/13 は広すぎる・・・

121.12.116.0/24 あたりで様子見かな

----------------------
ZeuS (Zbot)

ZeuSもいろんなとこに潜伏してますが・・

95.211.9.27

95.211.0.0 - 95.211.255.255
LeaseWeb B.V. Netherland
あれ？・・どっかでみたよーな会社名ですが、キノセーでしょうキット。

-
74.52.94.178

去年の８月まで暴れまくってた 74.52系ですが、また戻ってきたのかな？

範囲焼却は、すこし様子見です

-
66.147.240.152

初見ですね、同じく様子見

-
61.235.117.88
The spamhaus project のブラックリスト有

61.235.117 でけっこう引っかかるので /24 推奨

61.235.117.0/24
China Railcom Guangdong Shenzhen Subbranch CN

-
67.212.80.121
67.212.80.124

あまり過去ログには引っかからず

範囲焼きは留保
Netelligent Hosting Services Inc. CA
67.212.64.0/19

67.212.80.0/24 で

-
69.64.42.226

ここもほぼ初見

範囲焼き留保
単体か /24で

--
66.235.180.238

やっぱり初見

過去に 66.235.180.194 (2009.03.07) あり

単体か /24 かな

-
211.95.78.99

211.95 は結構引っかかります。

2009/04/05以降
211.95.72.88 (*)
211.95.73.189 (***)
211.95.78.66
211.95.78.73 (***)
211.95.78.79
211.95.78.111
211.95.79.6 (***)
211.95.79.114
211.95.79.229 (*)
難しいトコですね。

とりあえず活発化するかもしれない 211.95.78-79 を封鎖ということで様子見

211.95.78.0-211.95.79.255 (CIDR:211.95.78.0/23)

一応：
211.90.0.0 - 211.97.255.255
UNICOM(CN) Xicheng District,Beijing,China CN

--
91.207.61.54


91.207.60.0/23 (CIDR: 91.207.60.0 - 91.207.61.255)
ISP Nova-NET Ukraine

国旗をみた瞬間焼却した人、手あげなさい！

--
217.107.219.112

履歴的には

217.107.217.29 (2009/01/11 Trojan)
217.107.219.39 (2009/04/01 Trojan)
217.107.218.70 (2008/09/09 Malware)

あんまり活発ではない様子

単体か /24 様子見で

--
91.212.41.237

ああ・・やっといつもの IP が出た（苦笑）

--
66.40.52.71

66.40.52 で、少しひっかかりますね

あと、
66.40.56.10
でも Trojan 報告があります。

66.40.52.0/24 と
予見的に
66.40.56.0/24
あたりが無難でしょう。

Direct Allocation MAXIM-4
66.40.0.0/16 USA GA


-----------------------

今日は初見が多いので、いろいろ悩みながらお願いします。