UnderForge of Lack

Usually, culprit returns to the place of the crime

「犯人は現場に戻るの法則」じゃありませんが、Malwareの散布元が潰されると、古巣にもどる傾向があるようです。

update.dom11z.cn

213.182.197.229
JUNIK Ltd. lv (ラトビア)

またか・・

213.182.197.224 - 213.182.197.239
Real_Host_NET1 LV(Latvia) ちょっと狭い？

リガの大手プロバイダ JUNIK 全焼でもいいかもね

213.182.192.0/19 (213.182.192.0 - 213.182.223.255)
JUNIK Riga Network part 2

----------
あんまりラトビアを焼くと、
ZABBIXを引っ掛けそうで怖いんですけどね（苦笑）

----------
91.212系の攻撃も激しくなっています。

id=? のphpでトロイを散布中：

91.212.41.111
91.212.41.119
91.212.65.55

すでに焼いたので、まいっか（笑）

----------
もうひとつの ZeuS(ZBot) と呼ばれる BotNetの散布マルウェアですが、これ・・タチが悪すぎてなかなか尻尾がつかめないんですよね。

よく 209.xxx.xxx.xxx 系に潜伏してるんですが、どんだけ隠れてるか？というと・・・

209.8.19.133
209.8.21.72
209.8.21.78
209.8.23.70
209.8.23.87
209.8.24.12
209.8.25.156
209.8.25.204
209.8.45.124
209.8.45.147 (*)

209.9.170.194

209.44.100.58
209.44.126.14 (**)
209.44.126.16
209.44.126.22 (*)
209.44.126.29 (*)
209.44.126.30 (*)
209.44.126.61
209.44.126.62 (*)
209.44.126.102
209.44.126.241

209.51.158.98
209.51.193.98

209.61.253.215

209.62.7.138
209.62.106.80

209.63.57.10 (*)

209.66.115.34
209.66.122.212
209.66.122.213

209.67.52.125
209.67.210.242
209.67.210.243
209.67.211.2
209.67.217.106

209.85.25.210
209.85.60.69

209.102.247.248

209.150.196.228

209.160.21.125 (*)
209.160.21.126
209.160.39.58
209.160.64.65
209.160.65.70
209.160.65.158
209.160.72.174 (*)
209.160.76.41 (*)

209.172.34.76
209.172.41.53 (*)
209.172.59.196 (*)

209.188.0.11

209.190.16.82
209.190.24.3
209.190.24.4

209.200.63.77
209.200.124.200

209.202.224.90

209.205.196.16

209.237.150.20

209.249.222.48 (*)

209.250.241.134
209.250.241.141 (*)
209.250.241.164
209.250.241.240

ど・・どんだけ・・・ orz

バラけ過ぎてるので、範囲絞ることすらできません。
(*)は複数回散見された IP （2008/07以降分）

209.で始まるIPは、基本的に疑ってかかるしかないような状況です。

とりあえず潰すのは

209.44.100.0/24
209.44.126.0/24
209.62.7.0/24
209.102.247.0/24
209.250.241.0/24

ほんとに全部焼く人は

209.0.0.0/8 (8！？) でどうぞ（笑）

ZeuSに関しては、本家（ロシア）のココが一番詳しいはず（苦笑）

今日の情報社会における脅威、2007年第３四半期

This entry was posted on 木曜日, 5 月 7th, 2009 at 12:16 AM and is filed under RiskHedge, security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

4 Responses to “Usually, culprit returns to the place of the crime”

UnderForge of Lack » Blog Archive » JUNIK.LV host malicious site instead of gumblar.cn Says:
5 月 8th, 2009 at 3:18 PM
[...] litetopdetect.cn bigtruckstopseek.cn autobestwestern.cn 213.182.197.23 JUNIK Ltd Latvia こないだ塞いだトコの狭い範囲からは外れてました orz もう JUNIK は全焼の方向で 213.182.192.0 - [...]
UnderForge of Lack » Blog Archive » BLOCK LIST Says:
5 月 14th, 2009 at 4:57 AM
[...] CA 209.44.126.0/24 CA 209.62.7.0/24 USA 209.102.247.0/24 USA 209.250.241.0/24 USA ZeuS Z-Botnet 2009.05.07 Malware and ZeuS(ZBot) Botnet Valious ISP's 209.44.96.0/19 (209.44.96.0 - 209.44.127.255) Zeus - [...]
UnderForge of Lack » Blog Archive » Malware 関連 2009.05.14 Says:
5 月 14th, 2009 at 7:25 AM
[...] 2009.05.02 UK Dedicated Servers Limited - (gumblar -- Russian ) 213.182.192.0 - 213.182.223.255 gumblar relative 2009.05.07 JUNIK Riga Network Latvia ---------- 【新】ここ数日、206.44.126.xxx [...]
UnderForge of Lack » Blog Archive » Answering to myself *grumble* Says:
5 月 16th, 2009 at 1:18 PM
[...] Riga Network Latvia ********** WARNING HIGH PRIORITY ********** 213.182.192.0 - 213.182.223.255 gumblar relative 2009.05.07 JUNIK Riga Network Latvia [...]

Usually, culprit returns to the place of the crime

4 Responses to “Usually, culprit returns to the place of the crime”

Leave a Reply