日曜日, 8月 11, 2013

#OCJP-120:「Kelihos」ボットネットP2Pマルウェアに101件感染された国内IPを発見しました。

本日付に私達のチーム「MalwareMustDie」は、Kelihosマルウェアが提供しているDNSサービスとドメインを潰しました。合計は200+以降.RUドメイン感染ボットネットIPとマルウェアが使われている33件.COM経由のNSサーバとそれおれのドメインです。その件については詳しい情報がこちらへご覧下さい。


作業の上、日本国内感染ユニークIPアドレスがボットネットのトラフィックの中に沢山発見し、正式な報告としてこのブログにやらせて頂きます。

全体的な感染情報を見たら国内の感染パーセンテージ的には3%となります:


graph by Chris J Wilson - #MalwareMustDie, NPO.

感染の数的には101件です:


それぞれの国のデータを分散したら下記のグラフとなります:

小さいかも知れないですが、日本は101件と書いてあります。

詳細な情報に行くと101件IPを下記のように書きますので、書き方のフォーマットは:
「IP|REVERSE-IP|AS番号|ネットワーク|AS-PREFIX|国|ISPコード|ISP情報」となります:

222.159.42.97|ntchba115097.chba.nt.adsl.ppp.infoweb.ne.jp.|2510 | 222.158.0.0/15 | INFOWEB | JP | INFOWEB.NE.JP | INFOWEB
110.133.10.201|110-133-10-201.rev.home.ne.jp.|9824 | 110.133.0.0/16 | ASN | JP | TECHNOLOGYNETWORKS.COM | TECHNOLOGY NETWORKS INC.
126.5.62.157|softbank126005062157.bbtec.net.|17676 | 126.5.0.0/16 | GIGAINFRA | JP | SOFTBANKBB.CO.JP | JAPAN NATION-WIDE NETWORK OF SOFTBANK BB CORP.
180.221.250.51|zaqb4ddfa33.zaq.ne.jp.|9617 | 180.221.0.0/16 | ZAQ | JP | BAYCOMMUNICATIONS.NET | BAY COMMUNICATIONS
116.83.151.87|nttkyo901087.tkyo.nt.ftth.ppp.infoweb.ne.jp.|2510 | 116.80.0.0/14 | INFOWEB | JP | INFOWEB.NE.JP | INFOWEB
126.90.89.164|softbank126090089164.bbtec.net.|17676 | 126.90.0.0/16 | GIGAINFRA | JP | SOFTBANKBB.CO.JP | JAPAN NATION-WIDE NETWORK OF SOFTBANK BB CORP.
223.133.70.200|pdf8546c8.tokynt01.ap.so-net.ne.jp.|2527 | 223.132.0.0/14 | SO | JP | SO-NET.NE.JP | SO-NET SERVICE
183.72.55.147|u555147.xgsfmg19.imtp.tachikawa.mopera.net.|9605 | 183.72.0.0/14 | MOPERA | JP | NTTDOCOMO.COM | NTT DOCOMO INC.
115.162.90.246|p73a25af6.sitmnt01.ap.so-net.ne.jp.|2527 | 115.162.0.0/15 | SO | JP | SO-NET.NE.JP | SO-NET SERVICE
175.179.217.14|ntgnma034014.gnma.nt.ngn2.ppp.infoweb.ne.jp.|2510 | 175.179.0.0/16 | INFOWEB | JP | INFOWEB.NE.JP | INFOWEB
114.48.135.247|em114-48-135-247.pool.e-mobile.ne.jp.|37903 | 114.48.0.0/15 | EMOBILE | JP | EACCESS.NET | EACCESS LTD.
125.14.182.202|125-14-182-202.rev.home.ne.jp.|9824 | 125.14.128.0/17 | ASN | JP | TECHNOLOGYNETWORKS.COM | TECHNOLOGY NETWORKS INC.
110.132.118.242|110-132-118-242.rev.home.ne.jp.|9824 | 110.132.0.0/16 | ASN | JP | TECHNOLOGYNETWORKS.COM | TECHNOLOGY NETWORKS INC.
49.252.118.104|em49-252-118-104.pool.e-mobile.ne.jp.|37903 | 49.252.0.0/16 | EMOBILE | JP | EACCESS.NET | EACCESS LTD.
202.225.100.182|FLA1Aak182.gnm.mesh.ad.jp.|2518 | 202.225.0.0/16 | BIGLOBE | JP | BIGLOBE.NE.JP | NEC BIGLOBE LTD.
210.4.173.91|h210-004-173-091.user.rosenet.ne.jp.|45675 | 210.4.160.0/19 | KMN | JP | ROSENET.NE.JP | JCN MINATO SHINJUKU LIMITED
59.190.12.141|59-190-12-141f1.hyg2.eonet.ne.jp.|17511 | 59.190.0.0/16 | K | JP | EONET.NE.JP | K-OPTICOM CORPORATION
110.132.92.185|110-132-92-185.rev.home.ne.jp.|9824 | 110.132.0.0/16 | ASN | JP | TECHNOLOGYNETWORKS.COM | TECHNOLOGY NETWORKS INC.
124.47.247.163|163.net124047247.t-com.ne.jp.|10010 | 124.47.192.0/18 | TOKAI | JP | TOKAI-COM.CO.JP | TOKAI COMMUNICATIONS CORPORATION
116.65.108.115|116-65-108-115.rev.home.ne.jp.|9824 | 116.65.0.0/17 | ASN | JP | TECHNOLOGYNETWORKS.COM | TECHNOLOGY NETWORKS INC.
219.121.156.187|d-219-121-156-187.ftth.katch.ne.jp.|9354 | 219.121.128.0/19 | TDNC | JP | KATCH.NE.JP | KATCH NETWORK INC.
219.115.71.102|zaqdb734766.zaq.ne.jp.|9617 | 219.115.64.0/19 | ZAQ | JP | JCOM.CO.JP | J:COM WEST CO. LTD.
49.241.5.87|87.5.241.49.ap.yournet.ne.jp.|10013 | 49.240.0.0/15 | FBDC | JP | FREEBIT.COM | FREEBIT CO. LTD.
180.47.85.157|p2157-ipngn701akatuka.ibaraki.ocn.ne.jp.|4713 | 180.0.0.0/10 | OCN | JP | OCN.NE.JP | OPEN COMPUTER NETWORK
210.194.74.48|210-194-74-48.rev.home.ne.jp.|9824 | 210.194.0.0/17 | ASN | JP | HOME.NE.JP | @NETHOME
218.43.150.251|p5251-ipad02matuyama.ehime.ocn.ne.jp.|4713 | 218.43.0.0/16 | OCN | JP | OCN.NE.JP | OPEN COMPUTER NETWORK
61.44.248.145|dhcp-ubr3-2615.csf.ne.jp.|18092 | 61.44.248.0/21 | CSF | JP | CSF.NE.JP | KYUSHU TELE COMMUNICATIONS COMPANY
221.17.12.18|softbank221017012018.bbtec.net.|17676 | 221.17.0.0/16 | GIGAINFRA | JP | SOFTBANKBB.CO.JP | JAPAN NATION-WIDE NETWORK OF SOFTBANK BB CORP.
61.205.32.2|2.32.205.61.west.flets.crust-r.net.|9371 | 61.205.32.0/19 | SAKURA | JP | CRUST.CO.JP | CRUST CO. LTD.
114.178.75.245|p14245-ipngn301akatuka.ibaraki.ocn.ne.jp.|4713 | 114.160.0.0/11 | OCN | JP | OCN.NE.JP | OPEN COMPUTER NETWORK
219.102.110.147|pl147.nas935.p-gifu.nttpc.ne.jp.|2514 | 219.102.0.0/16 | INFOSPHERE | JP | SPHERE.AD.JP | INFOSPHERE
125.4.147.142|zaq7d04938e.zaq.ne.jp.|9617 | 125.4.128.0/18 | ZAQ | JP | JCOM.CO.JP | J:COM WEST CO. LTD.
114.178.77.6|p16006-ipngn301akatuka.ibaraki.ocn.ne.jp.|4713 | 114.160.0.0/11 | OCN | JP | OCN.NE.JP | OPEN COMPUTER NETWORK
218.110.111.80|pda6e6f50.chibnt01.ap.so-net.ne.jp.|2527 | 218.110.0.0/16 | SO | JP | SO-NET.NE.JP | SO-NET SERVICE
220.210.144.2|2.144.210.220.dy.bbexcite.jp.|2497 | 220.210.128.0/18 | IIJ | JP | EXCITE.CO.JP | EXCITE JAPAN CO. LTD.
210.251.206.100|CATV-210-251-206-100.medias.ne.jp.|9354 | 210.251.192.0/20 | TDNC | JP | MEDIAS.NE.JP | CHITA MEDIAS NETWORK INC.
58.188.128.73|58-188-128-73f1.hyg2.eonet.ne.jp.|17511 | 58.188.0.0/14 | K | JP | EONET.NE.JP | K-OPTICOM CORPORATION
61.22.2.169|61-22-2-169.rev.home.ne.jp.|9824 | 61.22.0.0/18 | ASN | JP | TECHNOLOGYNETWORKS.COM | TECHNOLOGY NETWORKS INC.
1.114.135.114|em1-114-135-114.pool.e-mobile.ne.jp.|37903 | 1.114.0.0/15 | EMOBILE | JP | EACCESS.NET | EACCESS LTD.
61.205.34.100|100.34.205.61.west.flets.crust-r.net.|9371 | 61.205.32.0/19 | SAKURA | JP | CRUST.CO.JP | CRUST CO. LTD.
111.67.162.60|bai6f43a23c.bai.ne.jp.|7524 | 111.67.160.0/20 | HANSHIN | JP | ITEC.HANKYU-HANSHIN.CO.JP | ITEC HANKYU HANSHIN CO. LTD.
180.61.12.209|pl209.nas811.p-okinawa.nttpc.ne.jp.|4713 | 180.0.0.0/10 | OCN | JP | NTTPC.CO.JP | NTT PC COMMUNICATIONS INC.
219.97.119.104|nfmv001178104.uqw.ppp.infoweb.ne.jp.|2510 | 219.97.0.0/16 | INFOWEB | JP | INFOWEB.NE.JP | INFOWEB
210.1.161.235|baid201a1eb.bai.ne.jp.|7524 | 210.1.160.0/19 | HANSHIN | JP | ITEC.HANKYU-HANSHIN.CO.JP | ITEC HANSHIN CO. LTD.
180.11.51.121|p26121-ipngn2501marunouchi.tokyo.ocn.ne.jp.|4713 | 180.0.0.0/10 | OCN | JP | OCN.NE.JP | OPEN COMPUTER NETWORK
218.220.217.228|zaqdadcd9e4.zaq.ne.jp.|9617 | 218.220.192.0/19 | ZAQ | JP | JCOM.CO.JP | J:COM WEST CO. LTD.
58.156.49.174|58x156x49x174.ap58.ftth.ucom.ne.jp.|17506 | 58.156.0.0/15 | UCOM | JP | FTTX.CO.JP | UCOM CORPORATION
61.21.156.126|61-21-156-126.rev.home.ne.jp.|9824 | 61.21.128.0/17 | ASN | JP | TECHNOLOGYNETWORKS.COM | TECHNOLOGY NETWORKS INC.
49.252.199.227|em49-252-199-227.pool.e-mobile.ne.jp.|37903 | 49.252.0.0/16 | EMOBILE | JP | EACCESS.NET | EACCESS LTD.
119.171.13.230|119-171-13-230.rev.home.ne.jp.|9824 | 119.171.0.0/17 | ASN | JP | TECHNOLOGYNETWORKS.COM | TECHNOLOGY NETWORKS INC.
153.133.60.18|p18018-ipngn100204sasajima.aichi.ocn.ne.jp.|4713 | 153.128.0.0/11 | OCN | JP | OCN.NE.JP | OPEN COMPUTER NETWORK
126.67.188.63|softbank126067188063.bbtec.net.|17676 | 126.67.0.0/16 | GIGAINFRA | JP | SOFTBANKBB.CO.JP | JAPAN NATION-WIDE NETWORK OF SOFTBANK BB CORP.
110.132.28.170|110-132-28-170.rev.home.ne.jp.|9824 | 110.132.0.0/16 | ASN | JP | TECHNOLOGYNETWORKS.COM | TECHNOLOGY NETWORKS INC.
219.115.243.108|zaqdb73f36c.zaq.ne.jp.|9617 | 219.115.224.0/19 | ZAQ | JP | JCOM.CO.JP | J:COM WEST CO. LTD.
59.85.71.146|146.net059085071.t-com.ne.jp.|10010 | 59.85.64.0/18 | TOKAI | JP | TOKAI-COM.CO.JP | TOKAI COMMUNICATIONS CORPORATION
223.219.38.66|i223-219-38-66.s41.a013.ap.plala.or.jp.|4713 | 223.216.0.0/14 | OCN | JP | PLALA.OR.JP | NTT PLALA INC.
153.185.24.123|p18123-ipngn100104tokaisakaetozai.aichi.ocn.ne.jp.|4713 | 153.176.0.0/12 | OCN | JP | OCN.NE.JP | OPEN COMPUTER NETWORK
49.252.39.238|em49-252-39-238.pool.e-mobile.ne.jp.|37903 | 49.252.0.0/16 | EMOBILE | JP | EACCESS.NET | EACCESS LTD.
110.132.17.11|110-132-17-11.rev.home.ne.jp.|9824 | 110.132.0.0/16 | ASN | JP | TECHNOLOGYNETWORKS.COM | TECHNOLOGY NETWORKS INC.
218.221.71.217|pdadd47d9.tokynt01.ap.so-net.ne.jp.|2527 | 218.221.0.0/16 | SO | JP | SO-NET.NE.JP | SO-NET SERVICE
125.215.84.143|cm-125-215-84-143.client.mcbnet.ne.jp.|7522 | 125.215.64.0/19 | STCN | JP | MCBNET.NE.JP | MITOYO CATV BROADCAST NETWORK
61.200.114.40|nzu0552.nzubr1.thn.ne.jp.|10010 | 61.200.112.0/20 | TOKAI | JP | TOKAI-COM.CO.JP | TOKAI COMMUNICATIONS CORPORATION
1.113.53.66|em1-113-53-66.pool.e-mobile.ne.jp.|37903 | 1.112.0.0/15 | EMOBILE | JP | EACCESS.NET | EACCESS LTD.
61.24.56.185|61-24-56-185.rev.home.ne.jp.|9824 | 61.24.0.0/17 | ASN | JP | TECHNOLOGYNETWORKS.COM | TECHNOLOGY NETWORKS INC.
210.4.161.168|h210-004-161-168.user.rosenet.ne.jp.|45675 | 210.4.160.0/19 | KMN | JP | ROSENET.NE.JP | JCN MINATO SHINJUKU LIMITED
219.103.121.78|dhcp-ubr1-1091.csf.ne.jp.|18092 | 219.103.112.0/20 | CSF | JP | CSF.NE.JP | KYUSHU TELE COMMUNICATIONS COMPANY
211.19.237.213|dhcp14-213.ctb.ne.jp.|23780 | 211.19.224.0/19 | CTB | JP | CTB.NE.JP | CTB MEDIA INC.
211.135.175.97|FL1-211-135-175-97.kyt.mesh.ad.jp.|2518 | 211.135.128.0/17 | BIGLOBE | JP | BIGLOBE.NE.JP | NEC BIGLOBE LTD.
211.135.9.232|zaqd38709e8.zaq.ne.jp.|9617 | 211.135.0.0/19 | ZAQ | JP | JCOM.CO.JP | J:COM WEST CO. LTD.
61.27.199.31|61-27-199-31.rev.home.ne.jp.|9824 | 61.27.192.0/18 | ASN | JP | TECHNOLOGYNETWORKS.COM | TECHNOLOGY NETWORKS INC.
123.216.163.119|p4119-ipad407souka.saitama.ocn.ne.jp.|4713 | 123.216.0.0/13 | OCN | JP | OCN.NE.JP | OPEN COMPUTER NETWORK
114.51.25.114|em114-51-25-114.pool.e-mobile.ne.jp.|37903 | 114.51.0.0/19 | EMOBILE | JP | EACCESS.NET | EACCESS LTD.
61.115.148.218|zaq3d7394da.zaq.ne.jp.|9617 | 61.115.128.0/19 | ZAQ | JP | JCOM.CO.JP | J:COM WEST CO. LTD.
114.21.160.55|KD114021160055.ppp.prin.ne.jp.|2516 | 114.20.0.0/15 | KDDI | JP | WILLCOM-INC.COM | WILLCOM INC.
111.191.243.91|em111-191-243-91.pool.e-mobile.ne.jp.|37903 | 111.191.0.0/16 | EMOBILE | JP | EACCESS.NET | EACCESS LTD.
1.66.111.85|u611085.xgsnff2.imtp.tachikawa.mopera.net.|9605 | 1.66.0.0/15 | MOPERA | JP | NTTDOCOMO.COM | NTT DOCOMO INC.
125.215.84.135|cm-125-215-84-135.client.mcbnet.ne.jp.|7522 | 125.215.64.0/19 | STCN | JP | MCBNET.NE.JP | MITOYO CATV BROADCAST NETWORK
42.145.145.204|42-145-145-204.rev.home.ne.jp.|9824 | 42.145.0.0/16 | ASN | JP | TECHNOLOGYNETWORKS.COM | TECHNOLOGY NETWORKS INC.
211.125.111.42|i042.tr1.kct.ne.jp.|9622 | 211.125.96.0/19 | KCT | JP | KCT.NE.JP | KURASHIKI CABLE TV CORPORETION
126.125.113.24|softbank126125113024.bbtec.net.|17676 | 126.125.0.0/16 | GIGAINFRA | JP | SOFTBANKBB.CO.JP | JAPAN NATION-WIDE NETWORK OF SOFTBANK BB CORP.
125.4.35.24|zaq7d042318.zaq.ne.jp.|9617 | 125.4.0.0/18 | ZAQ | JP | JCOM.CO.JP | J:COM WEST CO. LTD.
126.62.71.231|softbank126062071231.bbtec.net.|17676 | 126.62.0.0/16 | GIGAINFRA | JP | SOFTBANKBB.CO.JP | JAPAN NATION-WIDE NETWORK OF SOFTBANK BB CORP.
114.163.221.186|p2186-ipbf6805marunouchi.tokyo.ocn.ne.jp.|4713 | 114.160.0.0/11 | OCN | JP | OCN.NE.JP | OPEN COMPUTER NETWORK
61.22.169.240|61-22-169-240.rev.home.ne.jp.|9824 | 61.22.128.0/18 | ASN | JP | TECHNOLOGYNETWORKS.COM | TECHNOLOGY NETWORKS INC.
111.188.50.36|em111-188-50-36.pool.e-mobile.ne.jp.|37903 | 111.188.0.0/16 | EMOBILE | JP | EACCESS.NET | EACCESS LTD.
221.118.28.170|global221-28-170.aitai.ne.jp.|9354 | 221.118.0.0/18 | TDNC | JP | AITAI.NE.JP | AITAI NET
1.113.87.67|em1-113-87-67.pool.e-mobile.ne.jp.|37903 | 1.112.0.0/15 | EMOBILE | JP | EACCESS.NET | EACCESS LTD.
218.223.213.245|u245.d213223218.ctt.ne.jp.|7672 | 218.223.208.0/20 | FITWEB | JP | CTT.NE.JP | CABLE TELEVISION TOYAMA INCORPORETED
58.89.126.241|i58-89-126-241.s42.a047.ap.plala.or.jp.|4713 | 58.88.0.0/13 | OCN | JP | PLALA.OR.JP | NTT PLALA INC.
116.80.28.170|nttkyo714170.tkyo.nt.ftth.ppp.infoweb.ne.jp.|2510 | 116.80.0.0/14 | INFOWEB | JP | INFOWEB.NE.JP | INFOWEB
125.14.50.188|125-14-50-188.rev.home.ne.jp.|9824 | 125.14.0.0/17 | ASN | JP | TECHNOLOGYNETWORKS.COM | TECHNOLOGY NETWORKS INC.
49.251.48.15|zaq31fb300f.zaq.ne.jp.|9617 | 49.251.0.0/16 | ZAQ | JP | JCOM.CO.JP | J:COM WEST CO. LTD.
175.28.20.26|host-175-28-20-26.mctv.ne.jp.|10019 | 175.28.16.0/20 | MCTV | JP | MCTV.NE.JP | MATSUSAKA CATV STATION CO. LTD.
183.72.147.69|u647069.xgsfmg23.imtp.tachikawa.mopera.net.|9605 | 183.72.0.0/14 | MOPERA | JP | NTTDOCOMO.COM | NTT DOCOMO INC.
122.145.176.196|196.176.145.122.ap.yournet.ne.jp.|10013 | 122.145.0.0/16 | FBDC | JP | FREEBIT.COM | FREEBIT CO. LTD.
61.27.113.230|61-27-113-230.rev.home.ne.jp.|9824 | 61.27.0.0/17 | ASN | JP | TECHNOLOGYNETWORKS.COM | TECHNOLOGY NETWORKS INC.
121.2.160.86|p02a056.tokynt01.ap.so-net.ne.jp.|2527 | 121.2.0.0/15 | SO | JP | SO-NET.NE.JP | SO-NET SERVICE
115.124.247.222|115-124-247-222.ppp.bbiq.jp.|7679 | 115.124.128.0/17 | QTNET | JP | QTNET.CO.JP | KYUSHU TELECOMMUNICATION NETWORK CO. INC.
218.41.159.87|pda299f57.aicint01.ap.so-net.ne.jp.|2527 | 218.41.0.0/16 | SO | JP | SO-NET.NE.JP | SO-NET SERVICE
113.197.238.125|125.238.197.113.dy.bbexcite.jp.|2497 | 113.197.128.0/17 | IIJ | JP | EXCITE.CO.JP | EXCITE JAPAN CO. LTD.
112.139.167.48|p048.net112139167.tokai.or.jp.|10010 | 112.139.128.0/17 | TOKAI | JP | TOKAI-COM.CO.JP | TOKAI COMMUNICATIONS CORPORATION
結果を見たらほぼダイヤルアップIPですね、結構感染されたパソコンが多いと思われます。
本件は正式な情報として発表しましたので、クリーンアップや手続きについてはJP-CERT/CC様にご連絡をお願い致します。

現時点ではKELIHOSボットネットが未だ動いている状況ですので、国内のセキュリティが守る様に除のお手続きが頂ければ非常に助かります。

以上

1 件のコメント: