I LOVE MALWARES
I LOVE MALWARES
「アンタ実はマルウェア好きだろ?」とか言われて落ち込んでます。
そんなわけない・・・と思う・・タブン
身内用です。
** 注意 **
このポストはあくまでも個人的な予防です。すべてのサイトの感染を確認したわけではありません。
ブロックしろと頼んでいるわけではありません
というかブロックしないでください。
すべては自己責任の範囲でお願いします
** /注意 **
@16 Mar, 2009
----------------
60.29.232.31
いつもの luckeySploit系ですが、今回は正真正銘、中国領土内
最近珍しいですね
前科は
60.29.232.31
60.29.232.32
しか引っかからないので、単体もしくは /24 でいいと思われます。
一応:
CNCGROUP Tianjin province network 
CN
CNC Group CHINA169 Tianjin Province Network : 60.28.0.0/15 デカイ・・
----------------
78.47.91.153
これもいつもの Fake AV
78.47.91.152 - 78.47.91.159
SIARHEI-SHANDROKHA 
Germany
78.47系の前科は結構出てきますね
78.47.91.153 (多数)
78.47.132.216 2009.05.12
78.47.132.220
78.47.132.221 2009.05.02
78.47.172.66
78.47.176.51
78.47.186.162
78.47.201.43
78.47.222.220
78.47.248.113
78.47.132.216 および 78.47.132.221 は
78.47.132.216 - 78.47.132.223
Alexey Terentyev Germany
大元はドイツでもかなり巨大なISP Hetzner Online AG です。
また、確証はありませんが
93.174.93.34
と同一人物(組織)
93.174系は
93.174.92.66 (2008/07/05) Trojan-Downloader.Agent.ufv
93.174.93.164 (2009/05/13) Trojan.Downloader.Loadadv.ACE
93.174.93.213 (2009/02/26) Rogue
----------------
83.133.123.140
fraudulent payment system (詐欺・架空請求)
83.133 系もけっこう出てきますね
5月に限って言えば
83.133.118.67 (05/04 trojan Pinch)
83.133.123.140
また、少し前まで 83.133.123.166 で MalwareやらRogueソフトやらの報告があります。
83.133.96.0 - 83.133.127.255
Greatnet New Media. Germany
ちょっと焼きすぎ(笑)
83.133.123.0/24 でいいんじゃないでしょうか?
----------------
qq.com レジストラの Trojan
レジストラ登録のメアドが xxxxxxx@qq.com のトロイ攻撃も活発化しています。
95.129.145.30 (05/15 Rogue)
95.129.144.228 (05/15 Fake Codec)
95.129.144.236 (05/14 Fake AV)
95.129.144.244 (05/14 Trojan)
95.129.144.12,13 (04/10-05/12 色々)
まぁ多彩ですね・・
95.129.144.0 - 95.129.145.255 (CIDR:95.129.144.0/23)
Ventrex LLP 
UK
ちょうどこの範囲に収まるので、クロかもー?ということにしておきましょう。
この qq.com による取得レジストラの攻撃でヒドイのは
121.12.123系です
121.12.116.4 (***)
121.12.116.48
121.12.116.68
121.12.116.82 (***)
121.12.116.95 (***)
121.12.116.97 (*)
121.12.116.106
121.12.123.105
121.12.123.114
121.12.169.219
121.12.173.18
MAINT-CHINANET CN
121.8.0.0/13 は広すぎる・・・
121.12.116.0/24 あたりで様子見かな
----------------------
ZeuS (Zbot)
ZeuSもいろんなとこに潜伏してますが・・
95.211.9.27
95.211.0.0 - 95.211.255.255
LeaseWeb B.V. 
Netherland
あれ?・・どっかでみたよーな会社名ですが、キノセーでしょうキット。
-
74.52.94.178
去年の8月まで暴れまくってた 74.52系ですが、また戻ってきたのかな?
範囲焼却は、すこし様子見です
-
66.147.240.152
初見ですね、同じく様子見
-
61.235.117.88
The spamhaus project のブラックリスト有
61.235.117 でけっこう引っかかるので /24 推奨
61.235.117.0/24
China Railcom Guangdong Shenzhen Subbranch CN
-
67.212.80.121
67.212.80.124
あまり過去ログには引っかからず
範囲焼きは留保
Netelligent Hosting Services Inc. 
CA
67.212.64.0/19
67.212.80.0/24 で
-
69.64.42.226
ここもほぼ初見
範囲焼き留保
単体か /24で
--
66.235.180.238
やっぱり初見
過去に 66.235.180.194 (2009.03.07) あり
単体か /24 かな
-
211.95.78.99
211.95 は結構引っかかります。
2009/04/05以降
211.95.72.88 (*)
211.95.73.189 (***)
211.95.78.66
211.95.78.73 (***)
211.95.78.79
211.95.78.111
211.95.79.6 (***)
211.95.79.114
211.95.79.229 (*)
難しいトコですね。
とりあえず活発化するかもしれない 211.95.78-79 を封鎖ということで様子見
211.95.78.0-211.95.79.255 (CIDR:211.95.78.0/23)
一応:
211.90.0.0 - 211.97.255.255
UNICOM(CN) Xicheng District,Beijing,China CN
--
91.207.61.54
91.207.60.0/23 (CIDR: 91.207.60.0 - 91.207.61.255)
ISP Nova-NET 
Ukraine
国旗をみた瞬間焼却した人、手あげなさい!
--
217.107.219.112
履歴的には
217.107.217.29 (2009/01/11 Trojan)
217.107.219.39 (2009/04/01 Trojan)
217.107.218.70 (2008/09/09 Malware)
あんまり活発ではない様子
単体か /24 様子見で
--
91.212.41.237
ああ・・やっといつもの IP が出た(苦笑)
--
66.40.52.71
66.40.52 で、少しひっかかりますね
あと、
66.40.56.10
でも Trojan 報告があります。
66.40.52.0/24 と
予見的に
66.40.56.0/24
あたりが無難でしょう。
Direct Allocation MAXIM-4
66.40.0.0/16 
USA GA
-----------------------
今日は初見が多いので、いろいろ悩みながらお願いします。
5 月 24th, 2009 at 1:07 PM
[...] icle出したので、こっちには書いてません。 69.31.80.179 : Vundo 初出 91.207.61.47 : zeus/wsnpoem 16 Mar, 2009 91.212.41.236 : starts download of Rogue 焼却炉 219.148.34.10 : Malware calls home 初出 219.148.34. では [...]
5 月 31st, 2009 at 7:19 AM
[...] また、2009/01/21 に Zeus/wsnpoem の報告有 202.73.57.0/24 95.129.144.211 Ventrex LLP UK LOVE MALWARESでクロ判定しておいた範囲内でした。 [...]