マルウェア ブラックリスト一覧の中に沢山日本のドメインが登録されている状況で確認しました。
ドメイン名とどのブラックリストに見つかりましたかというと下記の結果を見て下さい↓
1. www.malwaredomainlist.com/hostslist/hosts.txt
--------------------------------------------------------------------
0koryu0.easter.ne.jp
down1.jpdesk.com
fujifork.co.jp
net-hou.sun-inet.or.jp
utautai.sakura.ne.jp
www.blve.jp
2. malwaredomains.com/files/domains.txt
--------------------------------------------------------------------
fetiking.kir.jp harmful safebrowsing.clients.google.com
flowertask.co.jp harmful safebrowsing.clients.google.com
churahime.sakura.ne.jp pdfexploit www3.malekal.com/pdf.tx
doyle.boo.jp harmful safebrowsing.google.com
ai-studio.jp malicious freepcsecurity.co.uk
albi.co.jp harmful safebrowsing.clients.google.com
3. http://www.malwaretrends.com/content/origins/domains-list.php
--------------------------------------------------------------------
ai-studio.jp
albi.co.jp
churahime.sakura.ne.jp
doyle.boo.jp
fetiking.kir.jp
flowertask.co.jp
ftp.vector.co.jp" { type master; notify no; file "mbl.zone.file"; };
www1.bbiq.jp" { type master; notify no; file "mbl.zone.file"; };
--------------------------------------------------------------------
0koryu0.easter.ne.jp
down1.jpdesk.com
fujifork.co.jp
net-hou.sun-inet.or.jp
utautai.sakura.ne.jp
www.blve.jp
2. malwaredomains.com/files/domains.txt
--------------------------------------------------------------------
fetiking.kir.jp harmful safebrowsing.clients.google.com
flowertask.co.jp harmful safebrowsing.clients.google.com
churahime.sakura.ne.jp pdfexploit www3.malekal.com/pdf.tx
doyle.boo.jp harmful safebrowsing.google.com
ai-studio.jp malicious freepcsecurity.co.uk
albi.co.jp harmful safebrowsing.clients.google.com
3. http://www.malwaretrends.com/content/origins/domains-list.php
--------------------------------------------------------------------
ai-studio.jp
albi.co.jp
churahime.sakura.ne.jp
doyle.boo.jp
fetiking.kir.jp
flowertask.co.jp
ftp.vector.co.jp" { type master; notify no; file "mbl.zone.file"; };
www1.bbiq.jp" { type master; notify no; file "mbl.zone.file"; };
↑上記のホスト情報とマルウェア情報をちゃんと検索したら、何故か登録されたかと分かりました↓
①本格的にマルウェアが発見された事がるhttp://www.blogger.com/img/blank.gifとマルウェアドメインのブラックリストサーボスが今迄思っています
②サイトにあるダウンロードバイナリーがマルウェアと誤検知されて一覧に登録されて、誰も今迄気づかなくて、このままで残っています。
上記の①に付いてドメイン情報とマルウェア情報をちゃんと確認したら全て情報が古いですので、②に付いてはいくつか誤検知があったと確認が出来ました、例えば下記にあるダウンロードソフト↓
http://dl.woopiedesktop.com/browser/download/WoopieBrowser.exe
↑このソフトをダウンロードして、そのままでVirusTotalにスキャンしたら、絶対に「マルウェアだ!」と思われますよ
(実は動画検索ブラウザですので沢山色んなサイトに繋がっているからトロイのバックドアやドロッパーと思っているマルウェア研究者が居ますね)(スキャン結果はこちら)
WHOISで確認すれば下記のように情報がちゃんと出ますので↓
[Domain Name] EASTER.NE.JP
[Network Service Name] easter
[Organization Type] Network Service
[Administrative Contact] TS8387JP
[Technical Contact] TS8387JP
--------------------------------------------------------------------
[Domain Name] FUJIFORK.CO.JP
[Organization] Fuji Forklift Co.,Ltd.
[Organization Type] Company Limited
[Administrative Contact] HK4525JP
[Technical Contact] KW475JP
--------------------------------------------------------------------
[Domain Name] SUN-INET.OR.JP
[Organization] SUN INTERNET PROVIDING SERVICE
[Organization Type] The network providing service for person and company
[Administrative Contact] NW016JP
[Technical Contact] MH122JP
--------------------------------------------------------------------
[Domain Name] SAKURA.NE.JP
[Network Service Name] SAKURA Internet
[Organization Type] Network Service
--------------------------------------------------------------------
[Domain Name] KIR.JP
[Registrant] KAGOYA Internet Routing
:
:
[Network Service Name] easter
[Organization Type] Network Service
[Administrative Contact] TS8387JP
[Technical Contact] TS8387JP
--------------------------------------------------------------------
[Domain Name] FUJIFORK.CO.JP
[Organization] Fuji Forklift Co.,Ltd.
[Organization Type] Company Limited
[Administrative Contact] HK4525JP
[Technical Contact] KW475JP
--------------------------------------------------------------------
[Domain Name] SUN-INET.OR.JP
[Organization] SUN INTERNET PROVIDING SERVICE
[Organization Type] The network providing service for person and company
[Administrative Contact] NW016JP
[Technical Contact] MH122JP
--------------------------------------------------------------------
[Domain Name] SAKURA.NE.JP
[Network Service Name] SAKURA Internet
[Organization Type] Network Service
--------------------------------------------------------------------
[Domain Name] KIR.JP
[Registrant] KAGOYA Internet Routing
:
:
※上記のドメイン名にはプロバイダー会社のドメインと企業ドメインがあります。
本件に付いて何問題が言いたいかというと、マルウェアブラックリストサービスは全世界では7件しかありませんが、それぞれの一覧DBをお互いに交換されています。
登録されているドメインが取り外さないとずっとこのままで残っているので、この原因でメールが届かない、若しくは色んなセキュリティ製品やサービスでブロックされたりする可能性が出ます。登録の手続きは難しくないので、上記のサイトでBLのDB一覧から取り消す手続きの連絡先があります。
もし分からなかったら私にツイッターで聞いて下さい、出来る限り手伝って上げます。
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
0 件のコメント:
コメントを投稿