Oldschool botnet consists new malware via gumblar
ScanSafe が gumblar.cn へのコメントを出しました。
Google SERPs Redirections Turn to Bots
だいたい既報のとおりですが
スクリプトの最初の部分は、特定のクッキーを探しスクリプト解釈のエンジンを特定します。その結果に応じてスクリプトが可動かどうかを判断しているようです。攻撃者はこの分岐によって "Internet Explorer"のみを狙っているように思われます。マルウェアの実行環境はブラウザに依存しない Flash/Acrobatの脆弱性を悪用しているにもかかわらず、なぜそんな分岐を行っているのかは不明です。
正確に言えば、 WindowsXP, Windows 2000, Windows Server 2003が対象です。
詳細はこちら
gumblar.cn
問題は、コレ
gumblar.cnに感染したサイトは、悪意をもった iframe によって 
213.182.197.23 からマルウェアをダウンロードしようとします。94.247.2.195 および 213.182.197.23 の双方は 
ラトビアにホスティングされていますが、gumblar.cnドメインは ukservers.com (
英国) に逆引きされる、モスクワのIPとなっています。偶然にも、このマルウェアは感染の最終段階で 78.109.29.112 からの ボットネット命令(C&C)を待ち受けにするバックドアをインストールしました
過去のBotNet-C&Cとマルウェアは、強制リダイレクションによって強く結びついているようです。
BackDoorを埋め込んでいた IFRAME散布は、過去に・・・
94.247.3.151 [hs.3-152.zlkon.lv]
94.247.3.150 [hs.3-150.zlkon.lv]
によって行われていました。
詳細:
Black Hat SEO - RBN Hacks, p.1
注意:アクティブリンク先に感染サイトが入っています。
BotNetですか・・ますます、感染した人へのケアが必須になってきましたが、どーするんでしょうねコレ
1回、塞いだ危険IPの再チェックしないといけませんね(嘆息)
とりあえず・・・
fpsx8 - Anatoliy Vasnetsoff 
UA
78.109.29.112 - 78.109.29.119
or
Datacenter Hosting.UA UA
78.109.16.0/20 (78.109.16.0 - 78.109.31.255)
JUNIK LV
213.182.192.0 - 213.182.223.255
ZLKON LV
94.247.2.0 - 94.247.3.255
UK Dedicated Servers Limited UK
94.229.64.0/20 (94.229.64.0 - 94.229.79.255)