昨年からWaledacボットネットが、マルウェアの拡散に積極的に用いられている。

 Waledacが用いている戦法は、かつてのStorm Wormによく似ており、我々は両者が密接に関わりを持っていると考えている。

 昨夜、Waledac感染を進めるのに使用されているウェブサイトがオーバーホールされた。

 sms.exe、trial.exe、smstrap.exe、freetrial.exe、smsreader.exeといったファイル名の感染レポートが現れ始めている。

 調査を行った際、Waledacサイトが現在、以下のようなデザインになっていることを確認した:

smstrap.exe

 なかなか良いグラフィックスだ。

 いずれにせよ、これらのサイトはdownloadfreesms.com、chinamobilesms.com、smsclubnet.comといったドメイン名となっている。

 これらのドメインのDNS登録をチェックしてみると、有効期限がゼロに設定されていることが分かる。そして問い合わせるたびに、IPアドレスが変更される。実際、絶え間なく変化している。

 smsclubnet.comのIPアドレスを2分間モニタしてみよう:

時刻    IP
11:00:17    118.232.218.209
11:00:22    211.105.220.204
11:00:28    121.179.73.185
11:00:33    124.8.89.29
11:00:38    69.55.30.158
11:00:44    116.127.184.49
11:00:49    201.42.136.214
11:00:54    89.35.18.27
11:01:00    24.77.250.131
11:01:05    118.130.83.202
11:01:11   77.78.150.199
11:01:16    211.180.118.70
11:01:21    189.111.197.36
11:01:27    121.183.32.80
11:01:32    211.218.197.220
11:01:38    121.183.32.80
11:01:43    125.129.151.33
11:01:48    151.60.88.70
11:01:54    121.179.73.186
11:01:59    210.207.217.154

 そしてこれらすべてのIPアドレスは、感染した家庭用コンピュータのもので、そのPCの所有者は自分がウェブサーバ、それもウィルスをばらまくウェブサーバを動作させているということなど知るよしも無い。

 このボットネットはマルウェアの拡散に使用されているだけではない。ホームをコールする際、マルウェア自身がこれを使用するのだ。Waledacが実行されると、このボットネットに属するIPアドレスに何十ものHTTPポストが行われる。

waledac_animation

 Waledacギャングは、自分たちのたくらみのために100以上の.comドメインを登録している。連中のドメインをいくつかをグループに分類してみると、そのオペレーションについてなにがしかのことが分かる。事実上、彼らの所有するドメインはすべて、hanlin_425@126.com、lijian@qq.com、およびwusong_ccc@126.comという電子メールアドレスに登録されている。

 彼らのドメインは以下の通り:

ニュース:
bestgoodnews.com
bestbreakingfree.com
breakinggoodnews.com
breakingnewsltd.com
breakingkingnews.com
breakingnewsfm.com
easyworldnews.com
goodnewsreview.com
goodnewsdigital.com
reportradio.com
linkworldnews.com
tntbreakingnews.com
usabreakingnews.com
wapcitynews.com
worldtracknews.com
worldnewseye.com
worldnewsdot.com
worldtracknews.com
spacemynews.com
yourbreakingnew.com

ブログ:
bestusablog.com
bestjournalguide.com
bestlifeblog.com
bestblogdirect.com
boarddiary.com
blogsitedirect.com
blogginhell.com
farboards.com
mobilephotoblog.com
photoblogsite.com

恐怖&テロ:
againstfear.com
antiterroris.com
antiterroralliance.com
antiterrornetwork.com
fearalert.com
globalantiterror.com
terroralertstatus.com
terrorfear.com
terrorismfree.com
urbanfear.com

クーポン&販売:
bestcouponfree.com
codecouponsite.com
gonesite.com
greatcouponclub.com
greatsalesgroup.com
greatsalestax.com
smartsalesgroup.com
thecoupondiscount.com
yourcountycoupon.com

ラブ&セックス:
adorelyric.com
adorepoem.com
adoresong.com
adoresongs.com
bestadore.com
bestlovehelp.com
bestlovelong.com
bluevalentineonline.com
chatloveonline.com
cherishletter.com
cherishpoems.com
extendedman.com
funloveonline.com
funnyvalentinessite.com
greatsvalentine.com
orldlovelife.com
greatvalentinepoems.com
lovecentralonline.com
lovelifeportal.com
romanticsloving.com
thevalentinelovers.com
whocherish.com
wirelessvalentineday.com
worldlovelife.com
worshiplove.com
youradore.com
yourgreatlove.com
yourlength.com
yourvalentineday.com
yourvalentinepoems.com
yourvalnetinepoems.com

 そして以下が最近追加されたものだ:

SMSスパイ:
chinamobilesms.com
downloadfreesms.com
freecolorsms.com
freeservesms.com
miosmsclub.com
smsclubnet.com
smspianeta.com
virtualesms.com

 上記グループのどれにも分類することができないドメインもいくつかある。以下がそれだ:

batchoose.com
bayhousehotel.com
coralarm.com
longballonline.com
moneymedal.com
quickjust.com
soundroyal.com
yourbarrier.com
yourlol.com
yourwent.com

 もしかしたら、これらのドメインが彼らの次の動きに関するヒントを与えてくれるのではないだろうか?

 何か考えのある人がいれば、コメントを投稿して欲しい。