UnderForge of Lack

Regarding malwares : writ 14 Mar 2009 for HWS
----------
急激にアクセスが増えてますので、過去ログを読んでない方もいらっしゃるかもしれません
そもそも、ウチのBlogは過去ログを読むことを想定していませんので、時系列がグチャグチャになってる気もします
ごめんなさい m(_ _)m


----------
またどっかで見たようなインジェクションが・・
www.bronotak.cn
78.109.25.217

ここは、GumblarのBotnet C&Cと疑われている IP
Datacenter Hosting.UA UA
78.109.16.0/20 (78.109.16.0 - 78.109.31.255)
に含まれる範囲の中です

現在一番危険なIP群ですので、以下も含めて全焼却しましょう。

94.229.64.0/20 (94.229.64.0 - 94.229.79.255)
gumblar - 2009.05.02
UK Dedicated Servers Limited
- (gumblar -- Russian )

213.182.192.0 - 213.182.223.255
gumblar relative 2009.05.07
JUNIK Riga Network Latvia


----------
【新】ここ数日、206.44.126.xxx の攻撃が激化しています。

206.44.126.22
206.44.126.102
206.44.126.241

このホスティング会社
American Standard, Inc. USA WI
ってのが、実態不明でよくわかりません（トイレ・バス・キッチンの会社とは別です）

全焼却しちゃうと
206.44.0.0 - 206.44.255.255 CIDR:(206.44.0.0/16 )
かなり広い・・・

もっとも、昔から ZeuS(Zbot)の巣窟になってるので、企業の人は焼いちゃってもイイカモ

というか、このレジストラ登録の text2re.com で検索するとですね・・

94.247.3.3 : hs.3-3.zlkon.lv
マタオマエカ・・・

94.247.2.0 - 94.247.3.255
zlkon.lv -- 2009.04.05
ZLKON Latvia

おそらく根っこが一緒のヤツ：
91.211.64.0/23
91.212.41.0/24
91.212.65.0/24
すでに焼却済みのはずです。

----------
JUNIK も元気いっぱいです

213.182.197.20 adultelitiest.ru
213.182.197.229 yes04ka.cn
213.182.197.238 boscumix.com

再掲ですが Gumblarもここに含まれるので２度繰り返しましょう

213.182.192.0 - 213.182.223.255
gumblar relative 2009.05.07
JUNIK Riga Network Latvia

----------
【新】85.17系もかなり危なそうです。
特に leaseweb というオランダのホスティング会社は昔から危険物扱いされていたようです（笑）

５月に入ってだけでも・・

85.17.52.4 crackfind.org

85.17.93.190 nolagtime.com

85.17.138.60 sameshitasiteverwas.com

85.17.136.137 lsiu.info(hosted-by.leaseweb.com)

85.17.162.100 f-o-r.ms (hosted-by.leaseweb.com)

85.17.177.223 porntube4u.com

85.17.189.183 antivirus.vc(hosted-by.leaseweb.com)

85.17.201.143 tm34.info (hosted-by.leaseweb.com)
85.17.201.143 hd.sbells.info (hosted-by.leaseweb.com)
85.17.201.143 axmell.info (hosted-by.leaseweb.com)

なんかもう、「全部焼いてしまえ！」って気になるでしょう？（笑）


LEASEWEB (OCOM-MNT) Netherlands
85.17.0.0 - 85.17.255.255 (CIDR:85.17.0.0/16)

Surely, jpeg virus exist?

jpegウイルスがある！？とか言われたので調査開始

facebook-gallery.net

is.jpg : 16/41 (39.02%)
108544 Bytes
MD5:0b9eb8391474d131510457354f69a2de
SHA-1:b7e98652fbb61a7c990eacfcc39056965684acfb

Microsoft: Worm:Win32/Vundo.A

をいをい・・ウザイ偽AVで有名なVundoじゃないかー（苦笑）

ていうか、ぜんぜんjpegじゃないし・・・と思ったら
Analysis report for hXXp://facebook-gallery。net￥is.jpg
Requests: application/x-msdos-program
なるほどね・・（苦笑）

こーいうのに引っかかる人ってどんな環境なんだろう（笑）
たぶん、自分で MIME 登録しないと無効だと思うんですけど・・違うのかな？

------------
ところで・・
ホスティングを逆引きして懐かしいものが

216.39.62.191
AltaVista Company USA

http://www.altavista.com/
もう知ってる人も少ないでしょうが、昔はココしかマトモな検索エンジンが無かった時代がありました（笑）
今は広告型の検索サーチ Overture の傘下にあります。

でも容赦なく焼くのが my justice（鬼！）
216.39.48.0 - 216.39.63.255
CIDR: 216.39.48.0/20
温情派（笑）の人は
216.39.62.0 - 216.39.62.255

Vundoのトロイ接続先：
85.12.43.103:53
XENTRONIX Netherlands
85.12.43.0 - 85.12.43.255

Fake Flash Player should become Trojan Horse

これだけ FlashやらAcrobatの危険性が叫ばれると、
「とりあえず Flash/Acrobatのアップデートをしなきゃ」とあせる人もあらわれるわけで・・

install_flash_player.exe : 5/40 (12.50%)
1984026 bytes
MD5:5e06ea9b4aecffd96fc9e71cbc52302b
SHA-1:9625050792f7993d8ea5505b57ce5fa7a80b2e85

addobeflashplayer.net
85.14.6.159

n2s028.hostsyst.com
Colocation Clients Bulgaria

前科は無いようですので単独IPで焼いてもよさそうですがネンノタメ・・・
85.14.6.0 - 85.14.6.255
(CIDR); 85.14.6.0/24


ちなみに、既出の物とは変えてきているようです。
adobeus.com