UnderForge of Lack

＊＊＊＊＊ 重要 ＊＊＊＊＊

ここに書かれている問題は 2009年 6月前後の問題であり、現在進行中の Gumblar.x や 8080系問題には全く関係ありません。

インシデント系に関しては以下を参照してください。

インシデント発生： THE FIRST STEP

インシデントからの回復

TAG: Gumblar.cn


現在進行中の 8080系 (/*GNU GPL*/系）に関しては

[CAUTION] Security Tool にご用心

TAG: 8080

を併せて参照ください。











*** はじめに ***


ここを見ていらっしゃる方の中で、恐怖感に駆られていらっしゃる方。

まずは落ち着いてください。

感染しているかどうかのチェックをしてみましょう。




----------------------------------------

まずチェック

STEP 1: regedit もしくは cmd の起動確認。

感染したＰＣは、ウィルスプログラムが特定のプログラムの起動を阻害します。

STARTメニューから


ファイル名を指定して実行を選び、


regedit(改行) ：レジストリ・エディタの起動を試みます。


こんな画面がでればＯＫ。すぐに閉じてください。
出なかった人、少し不安になりましたね？



STEP 2 : cmd （コマンド・プロンプト）

MS-DOS なんていうマイクロソフト遺産登録間違いなしのアプリケーションです
さっきと同様にファイル名を指定して実行を選び


cmd(改行）；コマンドプロンプトの起動を試みます


こんな画面が出ればＯＫ（画面は少し小さくしてあります）
閉じてしまってＯＫです
出なかった人、相当不安ですよね・・・
※注意：現在の最新のウィルスでは起動します。



STEP 3 謎のファイルを確認する
このウィルスは、何故か sqlsodbc.chm というファイルに執着があるようです。
※あくまでも 2009.05.17現在の話、将来はわかりません。

そのファイルを探してみましょう。

ファイル検索を行います


sqlsodbc を探します



インストールしたばかりの Windows 2000 ですので存在しません。
slqsodbc.hlp が引っかかっています。

XPの場合は
こうなっているはずです。


※詳細 gumblar.cn感染をチェックする（MD5取得方法紹介）

ファイルのサイズが、 50K (49.5K) あるいは 50,727バイト であれば、一応改ざんされていない可能性が高いです。

改ざんされているファイルは 1000-2500バイト前後のサイズになっていることが多いです。

心配な方は上記リンク上の MD5 ハッシュによるファイルの完全一致チェックを行ってください。



STEP 4 チェック続行
ここまで来てしまった方は相当不安感が増しているはずです。

まずはおちついて深呼吸、コーヒー飲むと落ち着きますよ（主として自分の場合）

ＰＣを再起動し、再度 STEP 1 の Regedit の起動を試みてください。

もし起動しない場合には、以下の手順で、最終チェックを行います。

RegGlass -- Vector

ダウンロードした zip を解凍します。
zipの解凍の仕方がわからない場合には
とりあえず、Lhaplus -- Vectorを使ってみてください
（外部DLL不要なので、取り急ぎ解凍するために）

RegGlass を解凍したら、プログラムを起動します


aux を検索します
※midi やらに登録されていた例もあるようですが、今回のものは aux でした。



感染例（あくまでも例です）

見たことも無いような妙なファイル "rcapaus.bvy" が登録されています。

普通は、.drv や .dll といったドライバファイルが登録されています。

こうなっている場合、感染している可能性が高いです。

ウィルス対策ソフト（セキュリティソフト）をインストールしている方は、まずはそちらにご相談ください。


残念ながら私は貴方を救うための「確実な」手段を持っているわけではありません。

以下は自己責任となります、

よろしいですか？























----------------------------------------

自分のウェブサイトをチェック

一番単純で、確実な方法は、自分の管理するサイト（ホスト）の全ファイルを自分のハードディスク（ローカル）に戻し、悪意コードの検索を行います。

※ホスティングしているサイトが SFTPを使用可能でしたら WinSCPのような暗号化通信可能な方法で確実に取得されることをお奨めします。

全ファイルを自分のハードディスクに取得したら、検索をかけます。Grep というコマンドが適しています。

GREP : フォルダ内の全ファイルから特定の文字列を検索する UNIX コマンド

grep用のツールはいくつかありますが、（いつも使ってる）サクラ・エディタの例で行きますと・・・


取得したフォルダに対して、以下の文字列で検索をかけます


検索する際には


でやってみてください
※jpegに偽装したスクリプトファイルの例が報告されています。


※この例では、ファイルを指定していますが、すべてのファイルを検索する際には、検索条件を *.* にしてください。

検索結果がズラズラと表示され始めましたか？

検索結果がヒットしたからといって、感染しているわけではありません。
あなたが認識しなくても、無料レンタルサーバの場合には自動的にアクセス解析用のコード等を挿入しているところがあります。

見ただけで怪しいものもありますが・・・・
検索結果の中で、更に replace を検索します


こんな文字列が「あなたのサイトからダウンロードしたファイル内」から発見された場合、まことにお気の毒ですが感染しています。



そして、訪問者に対して（心ならずも）被害を拡散させてしまっている「可能性が」あります。


※断言はできません。可能性の問題です。
※私は貴方のサイトをみたわけではありませんので・・・


ウィルス対策ソフト（セキュリティソフト）をインストールしている方は、まずはそちらにご相談ください。


残念ながら私は貴方を救うための「確実な」手段を持っているわけではありません。

以下は自己責任となります、

よろしいですか？




















ＯＫですね？　自己責任ですよ？


--------------------------------

このウィルスは以下のような性質をもっています

---------------------------------
現在までにわかっていること、

ＰＣ間の感染は現在のところ確認されていません。

これは Conficker 等とちがって、感染したＰＣが LAN(ローカルネットワーク）間での感染拡大を行う力を持っていないことを意味します。

（少なくとも 悪意を持ったトロイ・ファイルが、ネットワークドライブへのアタッチを行おうとした形跡は認められませんでした）


ＦＴＰ接続を盗み見られた疑いがあります。

私が確認したわけではありませんが、セキュリティ会社である Sophos と ScanSafe がそのように警告しています。しかし、具体的にどのように FTP を窃取されたかは不明瞭です。

英 Sophos
Troj/PHPMod-A: Behind the Troj/JSRedir-R attacks.

上記記事を基にした日経ITProの記事：
新たな「Webウイルス」が猛威、感染被害が急増
多くの場合、攻撃者は何らかの方法で正規サイトに不正アクセスし、このウイルスをWebページに埋め込む。そのページにユーザーがアクセスすると、埋め込まれたウイルスが動き出し、別のウイルスを勝手にインストールされる恐れなどがある。
FTPを窃取されたとは書いていない点に留意してください。つまりまだ確定していません。

米 ScanSafe : 主として米国のWeb Securityの会社 : Londonにも拠点有
Gumblar Q&A

訳文は自己責任で、できれば原文と照らし合わせてください。
自己責任に了解していただけましたか？ [Y]/n

どういうことかといいますと、 ScanSafe 以外、あまりこのようなウィルスの詳細検証を出していないのです。
ScanSafe社にどのくらいの信頼を置くか？という部分に関しては、皆様のご判断にお任せします。


Internet Explorer や Firefox などの通信を覗き見られた可能性があります

この部分は実際のところはよくわかっていません。

上述の FTP の ID/PASSWORD の漏洩は、ウィルス拡散の経路を辿って類推されたものです。
※オーナーではないIPアドレスからの FTPへの侵入が 正規の ID/PASSWORDを使って行われています。

問題は、 IE/Firefox等のブラウザで入力したフォーム情報などが盗み取られたかどうか？という部分ですが。

私から言えることは

現在のところ、その可能性があるだけで実際の報告は無い

ということにしておきます。

ただ、 IE も Firefox も プロセス内から sqlsodbc.chm への書き換えを行っていたことだけは確認しました。

ScanSafe社は、ブラウザ（特に IE 上）で入力した可能性のある有価情報を至急チェックするようにと警告しています。


感染した状態でのネット接続によって、不正なアフィリエイトの踏み台にさせられた可能性があります。

不正なセッションを発行した形跡等は（私のレベルでは）確認できませんでした。

一応、そういう話があるということを挙げておきます。

Malware Manipulating Google SERPs
When infected users perform certain Google searches, the search engine results page (SERP) is manipulated so that affiliate links are replacing the legitimate links. Cookie stuffing is used so that the links presented appear normal, i.e. the affiliate ID is not exposed, but the rogue affiliate gets full credit for the unintended click through.



感染した状態でGoogleの検索結果が改ざんされていた可能性があります。

これも、私には確認できませんでした。

一応、そういう話があるということを挙げておきます。

'Gumblar' attack explodes across the web
The payload is also believed to be highly dangerous. Landesman said that the malware intercepts web traffic such as Google search requests, and redirects it to fraudulent results. This allows the attackers to collect referral fees, and places the user at risk of further infection.


上述した Gumblar Q&A にも同じようなことが書いてあります。


後は、不正なプロセスが常駐していることで様々な不具合が発生するようです。常駐プロセスそのものが自己更新されるため、具体的に何が行われているかを追いかけるのは至難の業だと思われます。

セキュリティ各社の解析に期待しましょう。


---------------------------

重要なことは、感染から回復し、もし見ず知らずの他の方に感染を蔓延させているかもしれない状況を止めることです。

何度も言いますが、セキュリティ会社に相談して、自分の行動を決めてください。
私は、残念なことに、セキュリティ会社の社員ではありません。

以下は本当に自己責任です。

感染が確認されたサイトオーナーは、まずサイトの停止を行ってください。

その際、現在の感染した状態で、お詫びの html / php などを入れるのは危険です。
あなたの FTP の ID/Password は何らかの方法で不正使用されてしまっている可能性が高いからです。

涙を呑んで全ファイルを抹消し、これ以上の感染を防いでください。

もしバーチャルホストでサイトを構築している方は、バーチャルホストのセッションを切ってください。

危険でないと確証が持てる PC を探してください。

家の中の他のＰＣが感染している可能性は決して低くはありませんが、LAN経由での感染拡大の可能性は低いため、もう一度感染しているかどうかの確認を行ってください。

感染していないと判断できた場合、そのＰＣを使って、FTPの Password の変更を行ってください。
この際、新パスワードをあせって忘れないようにご注意ください。

サイトのTOPに告知を行うことをお勧めします。
これは、過去に訪問した方が既にウィルスに感染し、もしかしたらその人のホームページが汚染されるかもしれない事を防ぐために重要な要素であると信じます。

あくまでも例ですが、この記事に参照されている会社の例をごらんになるといいかもしれません。
正規サイト改ざん(2)～改ざんの手口が明らかに

この段階で、あなたのＰＣの問題に移動しました。

感染したＰＣからのバックアップを行います

バックアップは非常に大変です。
ですが、現在は HDD の価格も下がっていますので、この際きちんとバックアップを取ることをお勧めします。

必要と思われるファイル群をすべてバックアップします。

汚染されたＰＣを回復します

セキュリティベンダーにそうだ・・・（さすがにもう止めときます・苦笑）
ここまで見ている方は、相当お困りでしょうから・・・

私個人としては、システムのリカバリー、できればクリーンインストールをお勧めしておきます。

このウィルスはまだ挙動が完全に把握できていません。どこにどんなファイルが潜んでいるのか、全く理解できません。

仮にトロイ単体のみを除去して、それで安心して翌日から使えるか？という点が重要になります。


再掲になりますが
あくまでも例ですが、この記事に参照されている会社の例をごらんになるといいかもしれません。
正規サイト改ざん(2)～改ざんの手口が明らかに
ここに書かれている、感染サイトの会社がどういう対処を行ったか？　という部分を含めてご検討ください。

絶対にリカバリーが出来ない！
という方は、

英語ですがGumblar .cn Exploit - 12 Facts About This Injected Scriptの Removal のあたりを参照してください。

私はお勧めしないということを、ここに付記しておきます。

サイト再開の準備

自分の環境を再検証します。

使用している OS の バージョンは 最新のものですか？
Microsoft Update を行いましたか？ Microsoft

Adobe Flash Player は最新のものですか？ Adobe Flash Player

Adobe Acrobat Reader は最新のものですか？ 最新バージョンのAdobe Readerのダウンロード

できればこの機会にご使用中のInternet Explorerを再検討してください。

IE7を使っている方は IE8 へのアップデートを検討してください。

IE6しか使えない方は Firefox, Opera, Chrome あるいは Safari といったブラウザも検討してください。

私が使っているのは Firefox 3.0.10 + NoScript という環境下でコレまで（別のトラブルを除いて）不満はありません。
しかし、皆さんの判断しだいです。



-------------------
2009.05.14 First Edition

2009.05.16 Second Edition Disposed

2009.05.17 Published Draft

Thanks for THW !

----------

***** 初めてごらんになった方への注意点 ******

このリストはあくまでも、個人的に身内への先駆的な防護を目的として作成されました。
当該 IP 内に関係者がいらっしゃる方には非常に不快なリストかと思われます。

しかし、意味無く封鎖しているわけではありません。
少なくとも、日本国内で普通に Web を見ている分に、これらの IP群を封鎖しても
影響は薄いと判断されたものです。

もしあなたが当該 IP アドレスの中に関連したコンテンツを持っている場合、私にクレームを出されても困ります。
Malware/Spam の監視団体のほうに連絡をとられることをお勧めします。
そうすることで、そのISP会社が Malware/Spam の発給を止めることが、よりよい Web世界への一歩だと信じています。


このリストのすべてをブロックするように強制する意図はありません。

自己判断でブロック範囲を決めてください。

この範囲は、非常に事大主義的に設定されたものです。

*********************************************


以上の点に納得できない方は、すぐにウィンドウを閉じてくださるようお願いいたします。



































BLOCK したほうがいいかもしれないね？という身内向けリスト：

※注意：このリストは zlkon/gumblar/martuz のみのリストではありません。
特に ZeuS (Zbot) 系の範囲が広いことに注意してください。

また、 Virut/Virux や Conficker に関連した IP も含まれています。

/***************************************************************************/
6/20 以降のリスティングに関して

Tag : Block Listを参照してください。
/***************************************************************************/


/***************************************************************************/
　　2009.06.20 以前
/***************************************************************************/

/* APPENDED 2009.06.20 */

Bluehost Inc. 69.89.16.0 - 69.89.31.255 USA UT. Provo

TM NET SDN BHD(一部) 119.110.107.0-119.110.107.255 TM NET SDN BHD MALAYSIA

CHINANET JIANGSU PROVINCE NETWORK 218.93.205.0 - 218.93.205.255 China Suqian

CHINANET JIANGSU PROVINCE NETWORK 58.241.255.37 China Suqian

Masterforex Ltd 92.38.0.0 - 92.38.0.255 (部分焼却) Czech Republic, Brno

Kazakhtelecom Data Network 92.46.174.90 Kazakhstan

Masterforex LtdPanamaserver.com 200.63.45.34 Panama

THEPLANET.COM INTERNET SERVICES 209.62.0.0 - 209.62.127.255 USA Texas Houston

THEPLANET.COM INTERNET SERVICES 174.132.0.0-174.133.255.255 (174.132.0.0/15)
USA Texas Houston

THEPLANET.COM INTERNET SERVICES 74.52.0.0-74.55.255.255 (74.52.0.0/14) USA Texas Houston

SoftLayer Technologies Inc. 174.36.0.0 - 174.37.255.255 USA Texas Dallas

PE Sergey Demin 91.206.201.6 Ukraine

/* END */


/* APPENDED 2009.06.07 */

InterCage, Inc. 69.50.160.0 - 69.50.191.255 (69.50.160.0/19) USA Concord CA.
※現在は死亡中かも？

Layered Technologies, Inc. 72.232.0.0 - 72.233.127.255 USA Texus

UkrTeleGroup Ltd. 85.255.112.0 - 85.255.127.255 Ukraine Odessa

1&1 Internet AG 87.106.103.122 UK SCHLUND-CUSTOMERS

InterCage, Inc. 216.255.176.0 - 216.255.191.255 (216.255.176.0/20) USA Concord CA.
※現在は死亡中かも？

Advanced Hosters 213.174.136.0 - 213.174.139.255 USA

Advanced Hosters 213.174.152.0 - 213.174.153.255 USA

/* END */



58.65.232.0 - 58.65.239.255
Virut/Virux - 2009.02.14
Host Flesh HongKong


58.241.255.37
Regarding Koobface -- 2009.06.18
CHINANET JIANGSU PROVINCE NETWORK China Suqian


61.139.0.0 - 61.139.127.255
NicoVedeo - 2009.05.09
MAINT-CHINANET(CHINANET-SC) CN


61.219.39.0 - 61.219.39.255
Malware - 2009.05.04
Chunghwa Telecom Co. Taiwan



61.235.117.0 - 61.235.117.255
61.237.236.0 - 61.237.236.255
Virut/Virux - 2009.02.14
CHINA RAILWAY TELECOMMUNICATIONS CENTER CN


63.146.2.0 - 63.146.2.255
Fake AV - 2009.05.03
COMMERCIAL MEDIA Q0925-63-146-2-0 USA


64.86.16.0-64.86.17.255(64.86.16.0/23)
Relative Gumblar - 2009.05.28
Velcom CANADA


69.46.0.0/19 (69.46.0.0 - 69.46.31.255)
Virut/Virux - 2009.02.14
HIVELOCITY VENTURES CORP USA


69.50.160.0 - 69.50.191.255 (69.50.160.0/19)
Famous Bullet-proof hosting --
InterCage, Inc. USA Concord CA.
※現在は死亡中かも？


69.89.16.0 - 69.89.31.255
SPAM SPAM SPAM SPAM PHISHING SPAM~ -- 2009.06.20
Bluehost Inc. USA UT. Provo


72.232.0.0 - 72.233.127.255
Lucky Sploit -- 2009.06.06
Layered Technologies, Inc. USA Texus


74.52.0.0-74.55.255.255 (74.52.0.0/14)
Massive Trojan -- 2009.06.20
THEPLANET.COM INTERNET SERVICES USA Texas Houston


74.220.215.0-74.220.215.255
gumblar via e-mail - 2009.05.12
BLUEHOST-NETWORK-2 USA


********** WARNING HIGH PRIORITY **********
78.109.16.0/20 (78.109.16.0 - 78.109.31.255)
Botnet C&C by Gumblar - 2009.05.09
Datacenter Hosting.UA Ukraine


78.159.112.0 - 78.159.115.255
jii.be (Malware) - 2009.05.09
NETDIRECT-NET Germany(DE)


82.146.48.0/21 (82.146.48.0 - 82.146.55.255)
Fake Video/Sound Codec - 2009.05.06
onlinetube.info as musicmp3m.com(82.146.50.202)
ISPsystem-US USA


82.208.58.192 - 82.208.58.223
2009.06.05 Morning "Malware" Call -- 2009.06.05
Crazy Tomato, s.r.o. Czech


83.68.16.0 - 83.68.16.255
Virut/Virux (zief.pl) - 2009.02.14
XS4ALL Internet BV Netherland


85.12.43.0 - 85.12.43.255
Vundo 2009.05.14
XENTRONIX Netherlands


85.14.6.0 - 85.14.6.255
Fake Flash Installer - 2009.05.14
Colocation Clients Bulgaria


85.17.0.0 - 85.17.255.255 (CIDR:85.17.0.0/16)
Trojan Exploits (Regarding ZeuS) -- 2009.05.14
LEASEWEB (OCOM-MNT) Netherlands


85.214.90.0 - 85.214.90.255
autobestwestern.cn - 2009.05.13
Strato Rechenzentrum, Berlin Germany


85.255.112.0 - 85.255.127.255
Famous Bullet-proof hosting --
UkrTeleGroup Ltd. Ukraine Odessa


86.106.121.200
Related Gumblar -- 2009.05.31
BEYOND MEDIA SRL Romania Bucuresti


87.106.103.122
Related Gumblar -- 2009.06.07
1&1 Internet AG UK SCHLUND-CUSTOMERS


91.206.201.6
Outlook Exploits -- 2009.06.16
PE Sergey Demin Ukraine


91.207.60.0 - 91.207.61.255 (91.207.60.0/23)
relative beladen.net 2009.06.01
Ural Industrial Limited Company RU
google-analistyc.net google-analytlcs.com googleanalytlcs.net
ISP Nova-NET Ukraine


91.211.64.0/23
Malware Injection 2009.05.06 ZeuS(ZBot)
Ural Industrial Limited Company RU


91.212.41.0/24
Malware Injection 2009.05.06 ZeuS(ZBot)
litefront.cn(91.212.41.111)
gaztranzitstroyinfo-net(LLC) RU


91.212.65.0/24
Malware Injection 2009.05.06 ZeuS(ZBot)
Eurohost LLC Ukraine


92.38.0.0 - 92.38.0.255 (部分焼却)
Regarding Koobface -- 2009.06.18
Masterforex Ltd Czech Republic, Brno


92.46.174.90
Regarding Nine Ball -- 2009.06.17
Kazakhtelecom Data Network Kazakhstan


94.232.248.0 - 94.232.255.255
nipels.ru 2009.05.09 (94.232.248.56)
(also known as obama2welcome.ru)
Bastion Trade Group Ukraine


94.229.64.0/20 (94.229.64.0 - 94.229.79.255)
gumblar - 2009.05.02
UK Dedicated Servers Limited
- (gumblar -- Russian )


94.247.2.0 - 94.247.3.255
zlkon.lv -- 2009.04.05
ZLKON Latvia


********** WARNING HIGH PRIORITY **********
95.129.144.0/23 (95.129.144.0-95.129.145.255)
martuz.cn -- 2009.05.16
Ventrex LLP customers UK(GB)


119.110.107.0-119.110.107.255
Regarding Koobface -- 2009.06.18
TM NET SDN BHD TM NET SDN BHD MALAYSIA
全範囲焼却は犯歴が無いので微妙・・・ 119.110.96.0 - 119.110.111.255


174.36.0.0 - 174.37.255.255
Outlook Exploits -- 2009.06.16
SoftLayer Technologies Inc. USA Texas Dallas


174.132.0.0-174.133.255.255 (174.132.0.0/15)
Massive Trojan -- 2009.06.20
THEPLANET.COM INTERNET SERVICES USA Texas Houston


※高頻度既出
194.165.4.0/23 (194.165.4.0 - 194.165.5.255)
Trojan and Fake AV -- 2009.05.15
NTColo Networks Ukraine


195.2.252.0/23 (195.2.252.0 - 195.2.253.255)
Spam and Fake AV -- 2009.04.05
MADET-NET RU


195.216.160.0 - 195.216.191.255
Junik New range -- 2009.05.15
JUNIK Riga Network Latvia


200.63.45.34
Regarding Koobface -- 2009.06.18
Masterforex LtdPanamaserver.com Panama


202.73.57.0 - 202.73.57.31
Relative beladen.net -- 2009.06.01
MAINT-SG-VIEWQWEST Singapore


206.44.0.0 - 206.44.255.255 CIDR:(206.44.0.0/16)
Trojan Exploits (Regarding ZeuS) -- 2009.05.14
American Standard, Inc. USA WI


209.44.100.0/24 CA
209.44.126.0/24 CA
209.102.247.0/24 USA
209.250.241.0/24 USA
ZeuS Z-Botnet 2009.05.07
Malware and ZeuS(ZBot) Botnet
Valious ISP's


209.44.96.0/19 (209.44.96.0 - 209.44.127.255)
Zeus - 2009.05.06
ZeuS via odegda.cv.ua(82.146.50.202)
Netelligent Hosting Services Inc. CA


209.62.0.0 - 209.62.127.255
Outlook Exploits -- 2009.06.16
THEPLANET.COM INTERNET SERVICES USA Texas Houston


209.205.192.0-209.205.223.255
209.205.224.0-209.205.239.255
Virut/Virux - 2009.02.14
Pacnet USA


211.90.0.0 - 211.97.255.255
Virut/Virux - 2009.02.14
CHINA UNICOM CN


212.47.211.128 - 212.47.211.255
偽 Flash Player に注意 Part2 ? -- 2009.05.24
Starline Web Services Estonia


212.117.160.0 - 212.117.191.255
zlkon another-type 2009.05.03
LU-ROOT Luxemboug


213.182.192.0 - 213.182.223.255
gumblar relative 2009.05.07
JUNIK Riga Network Latvia


216.195.32.0 - 216.195.63.255
beladen.net relative 2009.06.01
google-analytics.cc
APS Telecom USA Portland

216.255.176.0 - 216.255.191.255 (216.255.176.0/20)
Famous Bullet-proof hosting --
InterCage, Inc. USA Concord CA.
※現在は死亡中かも？


213.174.136.0 - 213.174.139.255
213.174.152.0 - 213.174.153.255
Relative beladen.net -- 2009.06.06
Advanced Hosters USA


2009.04.17
Altavistaは影響が大きいため範囲からはずされました


218.90.0.0 - 218.94.255.255
Virut/Virux - 2009.02.14
CHINANET CN


218.93.205.0 - 218.93.205.255
Regarding Koobface -- 2009.06.18
CHINANET JIANGSU PROVINCE NETWORK China Suqian

余談：

martuz.cn に変わったので何が変わったのか挙動をみてみることにしました

が・・
検体取得できない（泣

Win2k の VMスナップを10個くらい吹き飛ばして、ようやくクエリ発行したら

hXXp:／／martuz.cn／vid／?id=568835

！？　なんだそのＩＤは　という数値で返ってきました

ショウガナイので、友人の XP でやってもらったけど、やっぱりダメっぽい。
というわけで IRC 経由で貰っちゃった（笑）

martuz1upx.exe : 17920 Bytes UPX
MD5: b76359a9e8345845b70fbfef2ba6d7bd
SHA-1: af82be2a128cf76cd2b32a8d43085946d684d474

martuz_cn_id10_20090516.exe -- 2009.05.16 6/40 (15.00%)

Analysis Report for martuz1upx.exe

挙動的にはいつもと一緒ですね

自己抹消用のバッチが e.bat になってるくらいかな・・？
もちろん sqlsodbc.chm を改変する部分も変わりません。
AUX = rohkor.ebu

Trojan:Win32/Daonol.D [Microsoft]

AUX = に埋め込まれる本体が完全にランダムなのが改めてよくわかります。
bkthxwj.dqy

この MSの検出名は Generical っぽいですが、Sophosのシグネチャが一番それっぽい気がします。

Troj/Daonol-Fam


---------

VM環境下で .exeを実行してみました
検体は上のやつ from martuz.cn


exe実行！


うーん、警報もなく素通し・・・これはヤバイ（笑）
spybot の TeaTimerが ヒステリックモードになってるはずなのに、見事にすり抜けました。


そして・・・・



なるほど、svchostじゃなくて、直接 IEを操作してるのか・・そりゃ判らないわけです。

この後、RegEditを開こうとしたら、タスクバーごと消えてハングアップ・・・

やばそうなのでスナップショット戻しました（笑）


Vista環境下では、現在の検体では感染できない模様（いくら UAC OKを押しまくっても、そもそもレジストリが違う）

以上、テスト結果でした。


あと、生成された AUX=に登録されるトロイ本体：

MD5: B53959E27A14D488B81C81E691E70D26
Trojan:Win32/Daonol.D


sqvuvmr.xcq -- 05.16.2009 5/40 (15.00%)

Sophosは I WIN ! なんていうだけの事はありますね（笑）

-----------------
感染した人のウィルスチェックが働かないわけだ・・・


感染状態でサンドボックス内に放置していた Windows2000 VM ですが、

６時間で２回、トロイ本体である AUX=xxxxx.xxx を自己書き換えしています。

最後に変更されたものはこんな感じです。


lgifjsu.bsw -- 05.17.2009 1/40 (2.5%)

Microsoftは検出してますけど、 Windows UPDATE （何故か起動する）しても MSRTでは検出できません（当たり前ですが）


なんかもうイヤになってきた（苦笑）

------------------
とにかくヒドい・・

何がひどいかといえば、何か設定を変えるたびに、カリブ海も真っ青な BSoD が発生。
あぁ・・海いきたい・・・

とうとう、毎回 BSoD で吹っ飛んで何もできなくなりました

ひょっとしたら Task が VMwareService.exe の存在を検知してるのかもしれない
（VMwareTrey から sqlsodbc.chm への WRITE が飛んだのは確認済み）

ちなみに何かの通信を行っているのは
95.129.145.57
martuz.cn : 95.129.145.58
すくなくとも、この２つのIPは完全に悪意を持った何者かに操られています。

もう後は、セキュベンダーに任せましょうか～


------------------
なんかもう、現実逃避モードでウィルスの挙動を見ています。
ニーチェの言葉が頭をよぎる（笑）


謎なのは、aux="xxxxxxx.xxx" に登録された存在が何かのタイミングで戻ってくることがあるという話

Computer help: troj/daonol-fam
Can anyone suggest how I can get rid of this trojan. I am running windows xp. I run sophos and it picked up the trojan, sophos cleaned it but it just seems to return.

そんなことはないと思うんだけど・・


あと、 BSoD になる理由が判明

ユーザ認証直後に 95.129.145.57 へ何らかのアクセスに失敗すると・・・？


強引に explorer.exeをクラッシュさせてる様子

これってアレだ・・

どこまでいやらしいんだオマエハ・・・・

8f8el3l.cn	BLOCKED	785	118.123.11.29
qvoev323.cn	BLOCKED	137	118.123.11.29
5u66j.cn	BLOCKED	1030	59.34.197.150
chulaiba.net	BLOCKED	494	61.191.61.22
	AS4134	CHINA-TELECOM

中国系：その他

まだ不確定、不明瞭なものが多いですが、いつものことですね・・・

vipcctv-2.cn (No Valid A rec)
www.vipcctv-2.cn

58.222.25.234 : AS4134 www.cfqq1.com
cfqq1.com
収容されているドメイン群：
全 Safe 判定


www.dnfst.com (No Valid A rec)

97.74.144.12 : AS26496 PAH-INC Go Daddy Software, Inc.
www.taobaodanbao.cn
収容されているドメイン群：

121.199.253.191 : AS38356 TimeNet BeiJing
w2if.cn
www.w2if.cn
収容されているドメイン群

59.63.157.64 : AS4134 www.0105568.cn
0105568.cn
収容されているドメイン群

222.215.230.11 : AS4134 www.cp965.com
cp965.com

61.191.191.140 : AS4134 www.dnf25.com／xz／wg560・rar

114.80.100.180 : AS4812 Shanghai Telecom Company
www.889wg.com／down／dnfwg・rar

60.169.2.171 : AS4134 vip.wg611.com／wg611・exe
収容されているドメイン群

98.126.35.26 : AS35908 (?) as VPLS Inc. d/b/a Krypt Technologies
www.hddvd520.com／updata・exe
Malicious software includes 2 scripting exploit(s), 1 trojan(s).

焼却炉の掃除もできない・・・

この２週間というもの、 MDL登録数が半端じゃない数になってて、傾向が読みにくいったらありゃしない！

Malware 作者さん。そろそろ休肝日を設けてくださいよ（違）


-------------------------
ZeuS/Zbot系
-------------------------


新顔で出てきたのは

焼き済みなのは相変わらず

傾向として、sk(スロバキア）への単体分散傾向が見られることかな？



-------------------------

Phirash (Phising Flash Player)

contempt.fileave.com : 64.62.181.43

countbe.com : 213.168.64.81 (DNSChanger)
countdesign.com : 同上


変なトコの Flash インストーラに気をつけましょう。



--------------------------

zlkon系の模倣

litetopseeksite.cn : 70.85.142.250
ドメインは数え切れません（苦笑）

このホスティングを行っている（と思われる） The Planet Internet Services, Inc. は前から怪しかったのですが、ここ数週間はかなり暴れまくっています。

焼くにしては範囲広いし・・難しいところです・・（管理甘いんだろうナ）



--------------------------
ってとこで時間切れ・・

はい、ちょっと数すくないですけど、適当に・・


Flash Player 関連は１個 Article出したので、こっちには書いてません。


----------
69.31.80.179 : Vundo
初出


----------
91.207.61.47 : zeus/wsnpoem
16 Mar, 2009


----------
91.212.41.236 : starts download of Rogue
焼却炉


----------
219.148.34.10 : Malware calls home
初出
219.148.34.　では 7-10までが少しひっかかりますので 219.148.34.10/24で


----------
218.10.18.76 : Malware calls home
初出：単独IP
だいたいこんなURLを踏む時点でどうかしてますよ
163.fuckunion.com/286/soft/163●exe
count.fuckunion.com/cnzz/update●txt
google.netcdn.com/cao/cao●exe
laspzx.linan.gov.cn:88


----------
64.94.162.244 : ADware
初出：単独IP


----------
69.64.33.242 : Fake AV
初出：単独IP
69.64.系が今度は 69.64.33. にやってきました。
とりあえず単独でしか見当たりません
※ Fake AV はウィルスと違って長時間放置されるケースが多いんですよね・・


----------
174.132.250.194 : Fake AV
初出：単独IP

ドメイン洪水がすごい（笑）
antivirus360remover.com
av360removaltool.com
malwarebot.org
malwaree.com
malwaree.org
remove-a360.com
remove-antivirus-360.com
remove-av360.com
remove-ie-security.com
remove-malware-defender.com
remove-ms-antispyware.com
remove-personal-defender.com
remove-spyware-guard.com
remove-spyware-protect-2009.com
remove-spyware-protect.com
remove-system-guard.com
remove-total-security.com
remove-ultra-antivir-2009.com
remove-virus-alarm.com
remove-virus-melt.com
remove-winpc-defender.com
smitfraudfixtool.com
vundofixtool.com

remove ie security って・・あながち間違ってもないか（苦笑）


----------
61.139.126.53 : Exploits / Trojan
NicoVedeo でおなじみです：

61.139.0.0 - 61.139.127.255
MAINT-CHINANET(CHINANET-SC) CN

ここは積極的に日本をターゲットにしていますので気をつけましょう。


----------
ほかにもいっぱいありましたが、時間切れ
夜くらいにひょっとしたらまた整理するかもしれません。

MDL Mar.21 2009 part2

-------------------
69.4.32.137 RFI

前半でも出てきた RFI(Remote File Inclusion) 攻撃が多発しています。

hXXp://malicious.code.com/C99.txt?archive.php のような形で PHPを呼び出すため、気がつきにくいという難点があり、.txtをアップロード許可しているところは多いため、分散攻撃に使用されています。


77.221.154.138
125.163.251.219
213.136.106.214
62.140.23.135
118.45.190.166
69.4.32.137
205.234.197.40
84.244.138.115
以下延々と続く・・・

という感じで、まったく整合性が掴めません。

初出が 3日ほど前ですので、おそらくまだあまり周知されていないものと思われます。注意が必要です。



-------------------
64.86.16.8 Exploits

bulkbuyinc.cn
numbersbulk.cn
trydirectjob.cn

典型的な .cn ドメイン洪水です。

初出 CANADA BRAMPTON

前科は 09/02/11 より、 64.86.16 ではこの IP しかひっかかりません。
近いものに
09/03/05 64.86.17.9 Rogue
があります。

とりあえず 単独で様子見でしょうか？

-------------------
216.152.240.12 Searchmiracle.Elitebar

c4tdownload.com Searchmiracle.Elitebar

EliteBarと呼ばれる、トロイ内蔵型ツールバーです。

過去にも配布例がありますので、隣も塞いでおいたほうがいいかもしれません

216.152.240.11 elitebar


-------------------
174.132.88.66 redirects to exploits

初見です。

単独かな～


-------------------
78.109.30.200 redirects to exploits

また君か・・

78.109.16.0/20 (78.109.16.0 - 78.109.31.255)
Datacenter Hosting.UA Ukraine -- Botnet C&C (gumblar)


-------------------
91.212.65.19 fake codec / Trojan
91.212.41.100 obfuscated iframes redirect to fake antivirus

はいはい・・

91.212.41.0/24
gaztranzitstroyinfo-net Russian/PETERBURG -- ZeuS(ZBot)
91.212.65.0/24
EUROHOST-NET Ukraine -- ZeuS(ZBot)

-------------------
98.149.80.234 redirects to Exploits

現在のところ、単発です。


-------------------
209.44.126.22 Rogue Winwebsec

元気ですね・・・

209.44.126.0/24 CA


-------------------
69.46.25.35 Malware calls Home

はいはいっと

69.46.0.0/19 (69.46.0.0 - 69.46.31.255)
Virut/Virux - 2009.02.14
HIVELOCITY VENTURES CORP USA


-------------------
77.221.154.138 redirects to exploits

あんまり見なかった IP です。 DATAPOINT-NET4 RUSSIAN/SAINT PETERSBURG
いつものような .cn 洪水攻撃・・・見たいですか？　私は見たくないんだけど・・・・

bestlotron.cn
denverfilmdigitalmedia.cn
filmtypemedia.cn
perfectnamestore.cn
nameashop.cn
mediahomenamemartvideo.cn
playbetwager.cn
finditbig.cn
nanotopdiscover.cn:8080
litegreatestdirect.cn
betbigwager.cn
liteautotop.cn
cutlot.cn
hotslotpot.cn
mediahousenameshopfilm.cn
lotmachinesguide.cn
superbetfair.cn

多すぎだろ！！！！！

隣の /24 IP : 77.221.153 にも zeus の攻撃報告がありますので、範囲焼却

77.221.153.0/23 (77.221.153.0 - 77.221.154.255)


-------------------
193.41.174.99 redirects to exploits

初見です。過去歴もありません。
が、

GERKON-UA 193.41.172.0 - 193.41.175.255

判断はおまかせします（笑）


-------------------
200.219.224.48 redirects to Exploits

初見です。過去歴もありません。 Comdominio Solutiones de Tecnologia S/A. (ブラジル)

今日の一番のヒット作かもしれません。

duplaouroeprata.com.br/image/tmp/36/how-to-use-a-condom.php


-------------------
194.165.4.77 Trojan / Fake AV

既出すぎますね

194.165.4.0/23 (194.165.4.0 - 194.165.5.255)
Trojan and Fake AV -- 2009.05.15
NTColo Networks Ukraine



以下既出IPが多くて、時間切れ（笑）



RFIの件は本記事たてたほうがいいかなぁ・・とは思いますが

2009/05/21

-------------------
89.149.221.74 Redirect fake codec
89.149.221.xxxでの前歴は見当たらず。
単独かな？
所在地は Germany になっていますが、直前がUSAなので、所在地偽装されている可能性が高いです。

しかし、
internetserviceteam.com
という名前で過去に

05/20 78.159.98.91
05/17 78.159.98.147
05/07 78.159.99.224
05/20 78.159.112.146
05/17 78.159.122.197
05/19 84.16.244.113
05/19 84.16.244.114
05/17 89.149.212.139
05/18 89.149.226.123
05/18 89.149.236.39
05/17 89.149.241.108
05/20 212.95.58.49 ベルギー
05/20 212.95.58.156 ベルギー
05/20 212.95.63.22 ベルギー
05/20 212.95.63.230 ベルギー

これだけ荒らしてくれてます。

これだけバラけてると弾きにくいですね・・・
ちなみに 78.159.112 は、jii.be の件で焼却済み

単独リストをたくさん登録できるところは、このリスト単独で。
できないところは、 見慣れない Codecへのインストールに注意してください。

----------------------
203.174.83.75 Rouge

前科無し 203-174-83-75.rev.ne.com.sg (シンガポール)

レジストラ登録Mail アドレスで検索すると
78.46.216.235

78.46系は若干大目に引っかかりますが、78.46.216は単独なので、とりあえず単独で様子見しましょう。

---------------------
91.212.41.111 LuckeySploit

はいはいいつもの子ですねぇ・・

---------------------
69.64.67.194 Malware calls home

探すとそこそこ引っかかる 69.64系ですが、69.64.67.xxxではこれしか引っかかりません。
米国内を引き回されてから Canadaに飛ばされています。

逆引きに出てくる dedicated.abac.net で検索すると

09/04/20 69.64.92.70
09/03/21 216.55.161.201
08/10/10 66.226.75.10
08/10/06 216.55.142.115
08/03/24 206.225.94.32
08/03/16 216.55.181.94
あたりが引っかかりますが、範囲飛びすぎ・・・・

とりあえず単独で様子見です。

---------------------
78.109.29.112 Malware calls home

上記のミラーと思われる IPです。

78.109 は、例の ZeuS-Zbot の範囲に含まれますので、焼いているのでは？
78.109.16.0/20 (78.109.16.0 - 78.109.31.255)
Datacenter Hosting.UA Ukraine -- Botnet C&C (gumblar)

---------------------
94.75.234.35 Trojan-Downloader.Tracur

hosted-by.leaseweb.com Netherlands
やぁ、どこかで会いましたね～

94.75.192.0/18 (94.75.192.0 - 94.75.255.255)

85.17.141.20 もリストに挙がっています（焼却済み）

---------------------
78.109.30.200 redirects to exploits

どうもこのIP群は鬼門ですね

78.109.16.0/20 (78.109.16.0 - 78.109.31.255)
Datacenter Hosting.UA Ukraine -- Botnet C&C (gumblar)


---------------------
64.111.197.86 redirects to exploits

わりと初見っぽい・・ WEEHAWKEN

94.111 系は少しひっかかりますが、今年に入ってかかったのは

09/05/19 64.111.196.206 windownloading.com : Rogue のみです

この２つの単独焼きで様子見です


---------------------
70.38.99.97 redirects to rogue

初見です

過去は

09/04/21 70.38.113.156
09/03/12 70.38.73.26
09/03/09 70.38.99.97

70.38ではコレしかひっかからないので、この４つだけ単独かなぁ？


---------------------
61.164.108.35 Trojan / Exploits

なんか大量のページに悪意コード埋ってるっぽいですが

前歴は

61.164.108.99
61.164.108.60
61.164.108.99
61.164.109.27

すこしバラけています。

TraceRoute を打っても帰ってきません。4t6nhh.6600.org という org ドメインにもかかわらず、中国国内のようです。

とりあえず 61.164.108.35 の単独焼きか、 61.164.108.0/24 あたりかな


---------------------
209.66.123.93 Trojan / Exploits

初見ですが、ドメインが adult-mpeg.net の時点で「あぁ・・ソッチ系ね」と納得してしまう（笑）UNITED STATES WHITE

209.66.123.72 Trojan / Exploits : movies4you.info
同朋


---------------------
62.140.23.135 RFI(remote & local file inclusion)

初見っぽいのですが、過去に

08/09/02 62.140.23.68
08/09/01 62.140.23.79
08/08/15 62.140.23.49
08/08/07 62.140.23.20

という同様の RFI の報告がありますので
62.140.23.0/24 で焼却


--------------------
91.212.132.11 rogue PrivacyCenter

はいはいいつも・・アレ？　範囲ズレてる（苦笑）-- SE(セルビア共和国)

過去歴は 91.212.132.10

ありますので

とりあえず この２つで様子見です。


--------------------
93.190.142.135 redirects to Rogue

05/20のレポートで

09/05/20 93.190.142.133
09/05/20 93.190.142.142
09/05/20 93.190.142.141
09/05/20 93.190.140.56 (**)
09/05/04 93.190.140.49
09/04/07 93.190.140.135

となっています。 Netherlands

ワンダリングしている感じですので、 93.190.142.0/24 は焼却処分、93.190.140.56は単独で様子見をしてみましょう。


-------------------
118.45.190.166 RFI

初見っぽいですが、悪意ファイルが zeus1.txt っていうのが気持ち悪い・・・ KR(韓国）

tracerouteに反応がありません。

範囲なら 118.45.190.160-118.45.190.191 です


-------------------
75.181.10.124 Malware, Exploits, Virus(Sality)

09/05/03 あたりからマルウェアを撒き散らしていたようです。


他の範囲にはなにもないので、単独で。


-------------------
213.182.197.8 Directs to DNSChanger

213.182.192.0 - 213.182.223.255
JUNIK Riga Network Latvia　範囲内


-------------------
195.2.253.241 Winwebsec

195.2.252.0/23 (195.2.252.0 - 195.2.253.255)
MADET-NET RU　範囲内


-------------------
202.102.135.30 Winwebsec

初出 UNICOM-SD

前科は 202.102.135系はこれだけです



今日は数おおすぎっ！

ちょっとこの辺で中断します。

I LOVE MALWARES

「アンタ実はマルウェア好きだろ？」とか言われて落ち込んでます。
そんなわけない・・・と思う・・タブン

身内用です。

** 注意 **
このポストはあくまでも個人的な予防です。すべてのサイトの感染を確認したわけではありません。

ブロックしろと頼んでいるわけではありません
というかブロックしないでください。

すべては自己責任の範囲でお願いします
** /注意 **


＠16 Mar, 2009

----------------
60.29.232.31

いつもの luckeySploit系ですが、今回は正真正銘、中国領土内
最近珍しいですね

前科は
60.29.232.31
60.29.232.32
しか引っかからないので、単体もしくは /24 でいいと思われます。

一応：
CNCGROUP Tianjin province network CN
CNC Group CHINA169 Tianjin Province Network : 60.28.0.0/15 デカイ・・


----------------
78.47.91.153

これもいつもの Fake AV

78.47.91.152 - 78.47.91.159
SIARHEI-SHANDROKHA Germany

78.47系の前科は結構出てきますね
78.47.91.153 (多数)
78.47.132.216 2009.05.12
78.47.132.220
78.47.132.221 2009.05.02
78.47.172.66
78.47.176.51
78.47.186.162
78.47.201.43
78.47.222.220
78.47.248.113

78.47.132.216 および 78.47.132.221 は
78.47.132.216 - 78.47.132.223
Alexey Terentyev Germany

大元はドイツでもかなり巨大なISP Hetzner Online AG です。

また、確証はありませんが
93.174.93.34
と同一人物（組織）

93.174系は
93.174.92.66 (2008/07/05) Trojan-Downloader.Agent.ufv
93.174.93.164 (2009/05/13) Trojan.Downloader.Loadadv.ACE
93.174.93.213 (2009/02/26) Rogue


----------------
83.133.123.140
fraudulent payment system (詐欺・架空請求)

83.133 系もけっこう出てきますね

５月に限って言えば
83.133.118.67 (05/04 trojan Pinch)
83.133.123.140

また、少し前まで 83.133.123.166 で MalwareやらRogueソフトやらの報告があります。

83.133.96.0 - 83.133.127.255
Greatnet New Media. Germany
ちょっと焼きすぎ（笑）

83.133.123.0/24 でいいんじゃないでしょうか？

----------------
qq.com レジストラの Trojan
レジストラ登録のメアドが xxxxxxx@qq.com のトロイ攻撃も活発化しています。

95.129.145.30 (05/15 Rogue)
95.129.144.228 (05/15 Fake Codec)
95.129.144.236 (05/14 Fake AV)
95.129.144.244 (05/14 Trojan)
95.129.144.12,13 (04/10-05/12 色々)

まぁ多彩ですね・・

95.129.144.0 - 95.129.145.255 (CIDR:95.129.144.0/23)
Ventrex LLP UK
ちょうどこの範囲に収まるので、クロかもー？ということにしておきましょう。

この qq.com による取得レジストラの攻撃でヒドイのは
121.12.123系です

121.12.116.4 (***)
121.12.116.48
121.12.116.68
121.12.116.82 (***)
121.12.116.95 (***)
121.12.116.97 (*)
121.12.116.106

121.12.123.105
121.12.123.114

121.12.169.219

121.12.173.18

MAINT-CHINANET CN
121.8.0.0/13 は広すぎる・・・

121.12.116.0/24 あたりで様子見かな

----------------------
ZeuS (Zbot)

ZeuSもいろんなとこに潜伏してますが・・

95.211.9.27

95.211.0.0 - 95.211.255.255
LeaseWeb B.V. Netherland
あれ？・・どっかでみたよーな会社名ですが、キノセーでしょうキット。

-
74.52.94.178

去年の８月まで暴れまくってた 74.52系ですが、また戻ってきたのかな？

範囲焼却は、すこし様子見です

-
66.147.240.152

初見ですね、同じく様子見

-
61.235.117.88
The spamhaus project のブラックリスト有

61.235.117 でけっこう引っかかるので /24 推奨

61.235.117.0/24
China Railcom Guangdong Shenzhen Subbranch CN

-
67.212.80.121
67.212.80.124

あまり過去ログには引っかからず

範囲焼きは留保
Netelligent Hosting Services Inc. CA
67.212.64.0/19

67.212.80.0/24 で

-
69.64.42.226

ここもほぼ初見

範囲焼き留保
単体か /24で

--
66.235.180.238

やっぱり初見

過去に 66.235.180.194 (2009.03.07) あり

単体か /24 かな

-
211.95.78.99

211.95 は結構引っかかります。

2009/04/05以降
211.95.72.88 (*)
211.95.73.189 (***)
211.95.78.66
211.95.78.73 (***)
211.95.78.79
211.95.78.111
211.95.79.6 (***)
211.95.79.114
211.95.79.229 (*)
難しいトコですね。

とりあえず活発化するかもしれない 211.95.78-79 を封鎖ということで様子見

211.95.78.0-211.95.79.255 (CIDR:211.95.78.0/23)

一応：
211.90.0.0 - 211.97.255.255
UNICOM(CN) Xicheng District,Beijing,China CN

--
91.207.61.54


91.207.60.0/23 (CIDR: 91.207.60.0 - 91.207.61.255)
ISP Nova-NET Ukraine

国旗をみた瞬間焼却した人、手あげなさい！

--
217.107.219.112

履歴的には

217.107.217.29 (2009/01/11 Trojan)
217.107.219.39 (2009/04/01 Trojan)
217.107.218.70 (2008/09/09 Malware)

あんまり活発ではない様子

単体か /24 様子見で

--
91.212.41.237

ああ・・やっといつもの IP が出た（苦笑）

--
66.40.52.71

66.40.52 で、少しひっかかりますね

あと、
66.40.56.10
でも Trojan 報告があります。

66.40.52.0/24 と
予見的に
66.40.56.0/24
あたりが無難でしょう。

Direct Allocation MAXIM-4
66.40.0.0/16 USA GA


-----------------------

今日は初見が多いので、いろいろ悩みながらお願いします。

update.microsoft.com.11HILF.COM
update.microsoft.com.11HILF.NET
update.microsoft.com.11f1lk1.com
update.microsoft.com.11f1lk1.net
update.microsoft.com.11f1lkh.com
update.microsoft.com.11f1lkh.net
update.microsoft.com.11f1lki.com
update.microsoft.com.11f1lki.net
update.microsoft.com.11f1lkj.com
update.microsoft.com.11f1lkj.net
update.microsoft.com.11f1lkl.com
update.microsoft.com.11f1lkl.net
update.microsoft.com.11hilf.com
update.microsoft.com.11hilf.net
update.microsoft.com.1iki1.com
update.microsoft.com.1iki1.net
update.microsoft.com.1ikij.com
update.microsoft.com.1ikij.net
update.microsoft.com.1ikik.com
update.microsoft.com.1ikik.net
update.microsoft.com.1ikil.com
update.microsoft.com.1ikil.net
update.microsoft.com.1lj1ki1.com
update.microsoft.com.1ljfki1.com
update.microsoft.com.1lji1i1.com
update.microsoft.com.1ljik11.com
update.microsoft.com.1ljiki1.com
update.microsoft.com.1llijk.com
update.microsoft.com.1llijk.net
update.microsoft.com.HFHILF.COM
update.microsoft.com.HFHILF.NET
update.microsoft.com.ILLIHIL.COM
update.microsoft.com.ILLIHIL.NET
update.microsoft.com.feikl1.com
update.microsoft.com.feikl1.net
update.microsoft.com.fekki1.com
update.microsoft.com.fekki1.net
update.microsoft.com.fekkil.com
update.microsoft.com.fekkil.net
update.microsoft.com.fekkl1.com
update.microsoft.com.fekkl1.net
update.microsoft.com.felkl1.com
update.microsoft.com.felkl1.net
update.microsoft.com.fiflil.com
update.microsoft.com.fiflil.net
update.microsoft.com.filiil1.net
update.microsoft.com.hfhilf.com
update.microsoft.com.hfhilf.net
update.microsoft.com.hhili.com.mx
update.microsoft.com.hhilil.com
update.microsoft.com.hhilil.net
update.microsoft.com.hhill1.com
update.microsoft.com.hhill1.net
update.microsoft.com.hhillh.com
update.microsoft.com.hhillh.net
update.microsoft.com.hhilli.com
update.microsoft.com.hhilli.net
update.microsoft.com.hhillj.com
update.microsoft.com.hhillj.net
update.microsoft.com.hiklij.net
update.microsoft.com.hilkij.net
update.microsoft.com.hillij.com
update.microsoft.com.hillij.net
update.microsoft.com.hillik.net
update.microsoft.com.hillkj.net
update.microsoft.com.i11lih11.net
update.microsoft.com.i11lih1h.com
update.microsoft.com.i11lih1i.net
update.microsoft.com.i11lih1l.net
update.microsoft.com.i11lihff.com
update.microsoft.com.i11lihhf.net
update.microsoft.com.i11lihjl.com
update.microsoft.com.iilj1k.com
update.microsoft.com.iilj1k.net
update.microsoft.com.iilji1.com
update.microsoft.com.iilji1.net
update.microsoft.com.iiljik.com
update.microsoft.com.iiljik.net
update.microsoft.com.iiljil.com
update.microsoft.com.iiljil.net
update.microsoft.com.iiljlk.com
update.microsoft.com.iiljlk.net
update.microsoft.com.ijj1hj1.com
update.microsoft.com.ijj1hj1.net
update.microsoft.com.ijj1hjf.com
update.microsoft.com.ijj1hji.com
update.microsoft.com.ijj1hji.net
update.microsoft.com.ijj1hjl.com
update.microsoft.com.ijj1hjl.net
update.microsoft.com.ijj1ifl.net
update.microsoft.com.ijlijj1.net
update.microsoft.com.ijlijjh.net
update.microsoft.com.ijlijji.com
update.microsoft.com.ijlijl1.com
update.microsoft.com.il1if1.com.mx
update.microsoft.com.ijlfij.com
update.microsoft.com.ijlfij.net
update.microsoft.com.ijlk1j.net
update.microsoft.com.ijlkfj.com
update.microsoft.com.ijlkfj.net
update.microsoft.com.ijlkif.net
update.microsoft.com.ijlkij.com
update.microsoft.com.ijlkij.net
update.microsoft.com.ikillif.com
update.microsoft.com.ikillif.net
update.microsoft.com.ikl1i1.com
update.microsoft.com.ikl1i1.net
update.microsoft.com.ikl1ij.com
update.microsoft.com.ikl1ij.net
update.microsoft.com.ikl1il.com
update.microsoft.com.ikl1il.net
update.microsoft.com.ikl1l1.com
update.microsoft.com.ikl1l1.net
update.microsoft.com.ikl1lj.com
update.microsoft.com.ikl1lj.net
update.microsoft.com.il1if1.com.mx
update.microsoft.com.il1ifi.com.mx
update.microsoft.com.il1il1.com.mx
update.microsoft.com.il1ilf.com.mx
update.microsoft.com.il1ili.com.mx
update.microsoft.com.il1lhh.com
update.microsoft.com.il1lhh.net
update.microsoft.com.il1lkh.com
update.microsoft.com.il1lkh.net
update.microsoft.com.ilfh1l1.com
update.microsoft.com.ilfiikl.com
update.microsoft.com.ilfiikl.net
update.microsoft.com.ilfijkl.com
update.microsoft.com.ilfijkl.net
update.microsoft.com.ilfl1i1.com
update.microsoft.com.ilfl1i1.net
update.microsoft.com.ilfl1l1.com
update.microsoft.com.ilfl1l1.net
update.microsoft.com.iljihli.com.mx
update.microsoft.com.iljili1.com
update.microsoft.com.iljilil.net
update.microsoft.com.iljill1.com
update.microsoft.com.iljlli1.com
update.microsoft.com.ilkfhl.com
update.microsoft.com.ilkih1.com
update.microsoft.com.ilkihf.com
update.microsoft.com.ilkihi.com
update.microsoft.com.ilkihl.com
update.microsoft.com.ill1ki1.com
update.microsoft.com.ill1ki1.net
update.microsoft.com.ill1kil.com
update.microsoft.com.ill1kil.net
update.microsoft.com.ill1kj1.com
update.microsoft.com.ill1kj1.net
update.microsoft.com.illih1l.com
update.microsoft.com.illih1l.net
update.microsoft.com.illihfl.com
update.microsoft.com.illihfl.net
update.microsoft.com.illihi1.com
update.microsoft.com.illihi1.net
update.microsoft.com.illihil.com
update.microsoft.com.illihil.net
update.microsoft.com.illikj1.com
update.microsoft.com.illikj1.net
update.microsoft.com.illjik1.com
update.microsoft.com.illjik1.net
update.microsoft.com.illjikl.com
update.microsoft.com.illjikl.net
update.microsoft.com.illkil.com.mx
update.microsoft.com.illl1i1.com
update.microsoft.com.illl1i1.net
update.microsoft.com.illlhi1.com
update.microsoft.com.illlhi1.net
update.microsoft.com.illlkh.com
update.microsoft.com.illlkh.net
update.microsoft.com.jikikfi.com
update.microsoft.com.jikikfi.net
update.microsoft.com.jikikj1.com
update.microsoft.com.jikikjf.com
update.microsoft.com.jikikjf.net
update.microsoft.com.jikikji.com
update.microsoft.com.jikikji.net
update.microsoft.com.jikikjl.com
update.microsoft.com.jikikjl.net
update.microsoft.com.jikikli.com
update.microsoft.com.jikikli.net
update.microsoft.com.k1fli1.com
update.microsoft.com.k1fli1.net
update.microsoft.com.k1flif.com
update.microsoft.com.k1flif.net
update.microsoft.com.k1flih.com
update.microsoft.com.k1flih.net
update.microsoft.com.k1flii.com
update.microsoft.com.k1flii.net
update.microsoft.com.k1flj1.net
update.microsoft.com.kiffi1.net
update.microsoft.com.kiffil.com.mx
update.microsoft.com.kil1i1.com
update.microsoft.com.kilji1.net
update.microsoft.com.kill1k.com
update.microsoft.com.kill1k.net
update.microsoft.com.killi1.com
update.microsoft.com.killi1.net
update.microsoft.com.killik.net
update.microsoft.com.lifl1i.com
update.microsoft.com.liflh1.com
update.microsoft.com.liflh1.net
update.microsoft.com.liflhi.com
update.microsoft.com.liflhi.net
update.microsoft.com.liljh1.com
update.microsoft.com.liljh1.net
update.microsoft.com.lillh1.com
update.microsoft.com.lillh1.net
update.microsoft.com.llik1i.com
update.microsoft.com.llik1i.net
update.microsoft.com.llikh1.com
update.microsoft.com.llikh1.net
update.microsoft.com.llikhf.com
update.microsoft.com.llikhf.net
update.microsoft.com.llikhi.com
update.microsoft.com.llikhi.net