Wielkie wydarzenie, wielki sport, wielka walka, wielki marketing, wielkie uderzenia i wszystko w stylu iście amerykańskim. O walce Gołoty i Adamka ciężko było nie słyszeć nawet jeśli ktoś zupełnie pozbawiony zostałbył bodźców zewnętrznych. Jako, że obecnego telewizora w pokoju staram się nie aktywować w celu innym niźli machanie Wiilotem i tym razem postawiłem na nowoczesne przekazy multimedialne. Wybrałem tekstową relację na jednym z serwisów sportowych. Minuta po minucie dowiadywałem się kto, kogo, w co i jak pierdol..ł, tfu uderzył. I byłem uradowany, aż do momentu gdy cofnąłem kilka godzin temu zegarek i pomyślałem, że chciałbym teraz zobaczyć jak w wersji wideo wyglądało całe w sportu ducha oklepywanie. Wpisałem w google:
adamek gołota video
Jak się bardzo szybko okazało, ciemna strona mocy była przygotowana na to wielkie show i z 9 ciu wyświetlonych mi wyników – 4 linki przenosiły mnie do stron, które przenosiły mnie do strony informującej, że wykryto wirusa w moim systemie czyli klasyczna fałszywka antywirusa. Oczywiście żadnego wirusa w systemie nie mam, nie mam nawet wyświetlanego rzekomo systemu operacyjnego ale fałszywe komunikaty nadal próbowały przekonać mnie do instalacji trojana, który miałby mnie uratować od zła doczesnego. Nie klikajcie, nie pobierajcie, nie instalujcie i myślcie czyli te same dewizy co zawsze oby Wam przyświecały :]
Podoba mi się, że licho nie śpi i na bieżąco analizuje co się na świecie wesołego dzieje i w co użytkownicy na pewno klikać będą :]
Co przyjemniejszy fałszywek, wyświetlał z użyciem zapewne GeoIP moje miasto dyżurne obok informacji, że moje dane mogą zostać skradzione. W jednym przypadku musiałem kliknąć 20 razy OK aby pobrać trojana :] ale to chyba jakiś dobrze skrojony JavaScript mnie polubił.
Pierwsze dwa linki kierowały mnie do domeny:
top-scanner04 com
natomiast pozostałe dwa do
gosearchsystemguard net
oraz
eriolyh cn
Jeśli chodzi o wykrywalność szkodników przez virustotal.com to przygotowane próbki wykazały się bardzo wysoką skutecznością obronna:
File Soft_71.exe received on 2009.10.25 04:44:11 (UTC)
Current status: finished
Result: 2/41 (4.88%)File setup_build7_195.exe received on 2009.10.25 04:47:29 (UTC)
Current status: finished
Result: 11/41 (26.83%)File install13700.exe received on 2009.10.25 04:51:02 (UTC)
Current status: finished
Result: 8/41 (19.52%)
I krótkie info dotyczące wspólnoty domen i adresów IP:
gosearchsystemguard net has address 64.213.140.70
top-scanner04 com has address 91.212.107.7
top-scanner04 com has address 83.133.119.154
top-scanner04 com has address 85.12.24.12
eriolyh cn has address 91.212.107.103
Zbieżność klas adresowych jak zawsze zresztą jest widoczna gołym okiem i pewnie Ci sami cyberprzestępcy klikali te dwa serwisy albo po prostu hosting jest na Cyprze bardzo przyjemną sprawą.
WHOIS:
whois top-scanner04 com
Domain Name: TOP-SCANNER04 COM
Registrar: TODAYNIC.COM, INC.
Whois Server: whois.todaynic.com
Referral URL: http://www.NOW.CN
Name Server: NS1.EVERYDNS.NET
Name Server: NS2.EVERYDNS.NET
Name Server: NS3.EVERYDNS.NET
Name Server: NS4.EVERYDNS.NET
Status: clientTransferProhibited
Updated Date: 24-oct-2009
Creation Date: 22-oct-2009
Expiration Date: 22-oct-2010
Domain name: top-scanner04 com
Status: Active
Protection Status: public
( make contact info private at http://www.now.cn/domain/domainPrivate.php )
Registrant:
Name: Jane K Natasha
Address: 2468 Bellwood Acres Rd
City: Emsdale
Province/state: OP
Country: CA
Postal Code: 412222
Administrative Contact:
Name: Jane K Natasha
Organization: n/a
Address: 2468 Bellwood Acres Rd
City: Emsdale
Province/state: OP
Country: CA
Postal Code: 412222
Phone: +1.7056366012
Fax: +1.7056366012
Email: kolios@brandpanama.com
Technical Contact:
Name: Jane K Natasha
Organization: n/a
Address: 2468 Bellwood Acres Rd
City: Emsdale
Province/state: OP
Country: CA
Postal Code: 412222
Nameserver Information:
ns1.everydns.net
ns2.everydns.net
ns3.everydns.net
ns4.everydns.net
Create: 2009-10-23 06:30:37
Update: 2009-10-24
Expired: 2010-10-23
QueryTimes: 38
whois gosearchsystemguard net
Domain Name: GOSEARCHSYSTEMGUARD net
Registrar: BIZCN.COM, INC.
Whois Server: whois.bizcn.com
Referral URL: http://www.bizcn.com
Name Server: NS1.GOSEARCHSYSTEMGUARD net
Name Server: NS2.GOSEARCHSYSTEMGUARD net
Status: clientDeleteProhibited
Status: clientTransferProhibited
Updated Date: 15-oct-2009
Creation Date: 15-oct-2009
Expiration Date: 15-oct-2010
Domain name: gosearchsystemguard net
Registrant Contact:
UIS
Garritt Kooken gkook@checkjemail.nl
+86.592257788 fax:
Rue de Virton 237
Evegnee Evegnee 4631
be
Administrative Contact:
Garritt Kooken gkook@checkjemail.nl
+86.592257788 fax:
Rue de Virton 237
Evegnee Evegnee 4631
be
Technical Contact:
Garritt Kooken gkook@checkjemail.nl
+86.592257788 fax:
Rue de Virton 237
Evegnee Evegnee 4631
be
Billing Contact:
Garritt Kooken gkook@checkjemail.nl
+86.592257788 fax:
Rue de Virton 237
Evegnee Evegnee 4631
be
DNS:
ns1.gosearchsystemguard net
ns2.gosearchsystemguard net
Created: 2009-10-15
Expires: 2010-10-15
whois eriolyh cn
Domain Name: eriolyh cn
ROID: 20081228s10001s06420923 cn
Domain Status: clientTransferProhibited
Registrant Organization: null
Administrative Email: spscript@hotmail.com
Name Server:ns2.dnsexit.com
Name Server:ns1.dnsexit.com
Registration Date: 2008-12-28 12:50
Expiration Date: 2009-12-28 12:50
whois 91.212.107.7
inetnum: 91.212.107.0 – 91.212.107.255
netname: Riccom-NET
descr: Riccom LTD
descr: The research center of Cyprys
country: CY
org: ORG-RL70-RIPE
admin-c: MC16000-RIPE
tech-c: MC16000-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-by: MNT-RICCOM
mnt-lower: RIPE-NCC-END-MNT
mnt-routes: MNT-RICCOM
mnt-routes: blueconnex-mnt
mnt-routes: MNT-EUKHOST
mnt-domains: MNT-RICCOM
source: RIPE # Filtered
organisation: ORG-RL70-RIPE
org-name: Riccom LTD
org-type: OTHER
address: 89 Digenis Akritas Ave, Nicosia, Cyprus
abuse-mailbox: ipadmin@riccom-cy.org
mnt-ref: MNT-RICCOM
mnt-by: MNT-RICCOM
source: RIPE # Filtered
person: Marios Christos
address: 89 Digenis Akritas Ave, Nicosia, Cyprus
phone: +357-02-447121
nic-hdl: MC16000-RIPE
mnt-by: MNT-RICCOM
source: RIPE # Filtered
whois 64.213.140.70
OrgName: Global Crossing
OrgID: GBLX
Address: 14605 South 50th Street
City: Phoenix
StateProv: AZ
PostalCode: 85044-6471
Country: US
ReferralServer: rwhois://rwhois.gblx.net:4321
NetRange: 64.212.0.0 – 64.215.255.255
CIDR: 64.212.0.0/14
NetName: GBLX-11D
NetHandle: NET-64-212-0-0-1
Parent: NET-64-0-0-0-0
NetType: Direct Allocation
NameServer: NAME.ROC.GBLX.NET
NameServer: NAME.PHX.GBLX.NET
NameServer: NAME.SNV.GBLX.NET
NameServer: NAME.JFK1.GBLX.NET
Comment: rwhois.gblx.net:4321 – THESE ADDRESSES ARE
Comment: NON-PORTABLE
RegDate: 2000-03-15
Updated: 2007-08-29
RTechHandle: IA12-ORG-ARIN
RTechName: GBLX-IPADMIN
RTechPhone: +1-800-404-7714
RTechEmail: ipadmin@gblx.net
OrgAbuseHandle: GBLXA-ARIN
OrgAbuseName: GBLX-Abuse
OrgAbusePhone: +1-800-404-7714
OrgAbuseEmail: abuse@gblx.net
OrgNOCHandle: GBLXN-ARIN
OrgNOCName: GBLX-NOC
OrgNOCPhone: +1-800-404-7714
OrgNOCEmail: gc-noc@gblx.net
OrgTechHandle: IA12-ORG-ARIN
OrgTechName: GBLX-IPADMIN
OrgTechPhone: +1-800-404-7714
OrgTechEmail: ipadmin@gblx.net
whois 83.133.119.154
inetnum: 83.133.96.0 – 83.133.127.255
netname: LNCDE-GREATNET-NEWMEDIA
descr: Greatnet New Media.
country: DE
admin-c: FL1331-RIPE
tech-c: FL1331-RIPE
status: ASSIGNED PA
mnt-by: LNC-MNT
mnt-lower: LNC-MNT
source: RIPE # Filtered
person: Frazzetta Lindner
address: Greatnet New Media
address: Brentenstrasse 4a
address: D-83734 Hausham
address: Germany
phone: +49 1805 47328638
fax-no: +49 1805 444894696
nic-hdl: FL1331-RIPE
abuse-mailbox: abuse@greatnet.de
mnt-by: LNC-MNT
source: RIPE # Filtered
% Information related to '83.133.0.0/16AS13237′
route: 83.133.0.0/16
descr: Lambdanet Operations – German region
origin: AS13237
mnt-by: LNC-MNT
source: RIPE # Filtered
whois 85.12.24.12
inetnum: 85.12.24.0 – 85.12.24.255
netname: NL-web10
descr: Web10 ict services
country: NL
admin-c: ENO8-RIPE
tech-c: ENO8-RIPE
status: ASSIGNED PA
mnt-by: EUROACCESS-MNT
mnt-lower: EUROACCESS-MNT
mnt-routes: EUROACCESS-MNT
source: RIPE # Filtered
role: EuroAccess Network Operations
address: Alsacelaan 5
address: 5627 CA Eindhoven
address: The Netherlands
phone: +31 (0)20-7173209
fax-no: +31 (0)40-2488764
e-mail: info@euroaccess.nl
admin-c: PL2400-RIPE
tech-c: TW1148-RIPE
nic-hdl: ENO8-RIPE
remarks: ———————————————
remarks: ! EuroAccess Enterprises Ltd. !
remarks: ! providing bandwidth and hosting solutions !
remarks: ———————————————
remarks: ! ABUSE COMPLAINTS TO: !
remarks: ! ABUSE@EUROACCESS.NL !
remarks: ! E-MAILS SENT TO OTHER ADDRESSES !
remarks: ! WILL BE IGNORED !
remarks: ———————————————
mnt-by: EUROACCESS-MNT
source: RIPE # Filtered
PS: Tak, wróciłem z wakacji z bardzo daleka… :]
Jeden komentarz do
25 października, 2009 o godzinie 10:31
Miło znowu przeczytać konkretny wpis na tym blogu, tym bardziej, że sam wczoraj trafiłem na jeden z tych „scannerów” poszukując relacji z walki.
Pozdrawiam