日曜日, 12月 06, 2009

マルウェアー天国...スパイウェアーセンター...「Max Power」ネットワークAS9929(ChinaNet)

210.51.166.119 AS9929(ChinaNet)のsourceIPからスパイウェアーが増えてきました。
ネットワークトラフィックを見たら大体10%ウェブサービス@AS9929(ChinaNet)ネットワークからマルウェアートラフィックが多いです。マルウェアーの種類はスパイウェアーが沢山発見されました。いくつかサイトのコードを見たら「Koobface」「Zeus」マルウェアーサイトに転送されます。もう1つパターンは薬の関係サイトに向いているですが、そのサイトのjavascriptコードを見たら「TDSS」又は「Tidserv」のトロイ木馬ダウンロード仕組みが動いています。



下記の逆引き検索結果ドメインネームは殆どマルウェアーサイトです。
parliament.tk A 210.51.166.119
amer0test0.cn A 210.51.166.119
domx0.cn A 210.51.166.119
dox0.cn A 210.51.166.119
domx1.cn A 210.51.166.119
dox1.cn A 210.51.166.119
domx2.cn A 210.51.166.119
dox2.cn A 210.51.166.119
tempa3.cn A 210.51.166.119
edit2china.cn A 210.51.166.119
edit3china.cn A 210.51.166.119
sport-lab.cn A 210.51.166.119
zeustrack.cn A 210.51.166.119
dom0cn.cn A 210.51.166.119
dom1cn.cn A 210.51.166.119
dom2cn.cn A 210.51.166.119
trafdomins.cn A 210.51.166.119
el1x.cn A 210.51.166.119
el2x.cn A 210.51.166.119
el3x.cn A 210.51.166.119

それぞれのドメインに対して、詳しいマルウェアーリアルタイムのレポートはこちらに書いてあります。

このネットワークからネットワークトラフィックが動いたら注意するべきと思います。イタズラSSH攻撃の動きも何回も発見されました。

色々調べたらこのネットワークが1つハッカーグループの居ろ所ですので、「Max Power」と言われます。。
----
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

0 件のコメント:

コメントを投稿