// #MalwareMustDie - May, 1st, 2013|23:55 JST | @unixfreaxjp // ALIVE Infector malware callbacks ITW with %HEX% subdomains/domains + .info // // Verdict: // Is the callbacks IP made by the VB/"Silly" Worm, as per detected by // infection report received at April 30th, 2013 (so new for an 2011 malware, question is WHY?) // antivirus products as below malware names: Worm.Win32.AutoRun.bhqn [Kaspersky Lab] Swisyn.p [McAfee] Mal/VB-BL [Sophos] VirTool:Win32/VBInject.gen!FU [Microsoft] Worm.Win32.AutoRun [Ikarus] // Proof of verdict is the URL sent by the malware described in here: http://www.threatexpert.com/report.aspx?md5=239e3b7b82107f839e608253fa3632b1 https://www.avira.com/en/support-threats-description?tid=5941&tlang=tr additionally investigated also in the Dynamoo report as malicious: http://blog.dynamoo.com/2013/04/something-evil-on-96126108132.html //domains used for the callback: *.0-0-0-0-0-0-0-0-0-0-0-0-0-8-0-0-0-0-0-0-0-0-0-0-0-0-0.info // subdomains.. [binary-mask].0-0-0-0-0-0-0-0-0-0-0-0-0-8-0-0-0-0-0-0-0-0-0-0-0-0-0.info // in example: // (1) 0-0-0-0-1-0-1-0-1-0-1-1-1-0-1-0-1-0-0-1-0-1-0-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-8-0-0-0-0-0-0-0-0-0-0-0-0-0.info // (2) 8-8-0-1-2-3-0-2-0-0-.0-0-0-0-0-0-0-0-0-0-0-0-0-8-0-0-0-0-0-0-0-0-0-0-0-0-0.info www.0-0-0-0-0-0-0-0-0-0-0-0-0-8-0-0-0-0-0-0-0-0-0-0-0-0-0.info //============= // PoC: //============= // (1)DNS up & alive PoC: request replied at .info TLD serial 2010196708 +-a0.info.afilias-nst.info (199.254.31.1) serial 2010196708 | +-a2.info.afilias-nst.info (199.249.113.1) serial 2010196708 | | +-b0.info.afilias-nst.org (199.254.48.1) serial 2010196708 | | | +-b2.info.afilias-nst.org (199.249.121.1) serial 2010196707 | | | | +-c0.info.afilias-nst.info (199.254.49.1) serial 2010196708 | | | | | +-d0.info.afilias-nst.org (199.254.50.1) | | | | | | // origin IP ADDRESS: 96.126.108.132 // With Proof of Concept: pDNS records shows: // URL: http://www.bfk.de/bfk_dnslogger.html?query=96.126.108.132#result https://www.virustotal.com/en/ip-address/96.126.108.132/information/ 0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 4-7-5-3-0-1-1-2-8-4-6-7-6-6-1-0-8-7-5-7-2-1-8-6-2-7-1-2-2-8-0-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 0-0-0-0-1-0-0-1-1-0-0-0-1-0-0-1-0-1-1-0-0-1-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 y-4-5-3-k-a-n-6-2-w-p-b-s-2-4-i-3-t-0-4-k-7-3-r-a-t-6-p-f-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 r-2-8-l-3-d-a-0-c-0-r-4-6-u-l-p-6-7-a-4-1-k-9-2-c-8-8-9-z-3-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 3-4-4-6-0-5-8-3-1-3-6-3-3-6-3-6-4-1-2-0-8-2-5-2-7-2-7-1-2-0-4-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 1-7-1-3-7-0-4-6-7-0-8-0-2-4-3-5-6-8-7-1-2-8-2-8-3-5-8-1-3-1-5-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 3-4-5-3-3-8-5-7-2-8-6-0-1-6-5-8-0-3-5-6-3-2-8-6-8-6-5-0-3-8-6-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 8-8-6-2-6-4-2-6-9-9-5-5-4-6-4-5-2-9-6-4-8-6-2-9-8-5-2-6-3-2-7-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 1-9-5-7-3-2-4-4-5-4-7-3-2-7-2-4-5-5-5-2-3-8-5-2-1-2-1-4-6-2-7-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 8-6-5-7-7-9-6-5-2-9-9-2-2-2-5-7-9-4-5-9-5-7-5-4-3-2-6-3-3-5-7-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 3-6-j-6-a-y-j-1-h-q-m-b-z-m-3-2-s-5-p-0-f-7-1-0-0-h-f-2-7-g-d-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 8-9-3-6-8-0-8-0-4-j-6-0-v-w-y-o-h-8-u-0-y-q-1-1-g-t-4-1-3-6-f-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 n-o-2-8-1-6-k-y-0-e-8-x-j-g-0-e-8-a-a-p-0-1-b-8-c-4-e-z-b-f-p-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 0-4-5-8-o-3-q-6-t-k-m-r-b-a-m-8-v-w-0-v-6-p-1-4-0-i-v-1-s-d-u-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 2-m-1-m-s-g-f-1-6-k-5-4-5-f-d-f-9-7-2-v-c-2-9-j-d-6-7-8-8-c-x-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 0-0-1-0-0-0-1-0-1-0-0-1-0-0-1-0-0-0-0-1-1-0-0-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 1-6-1-5-6-3-0-2-3-8-3-3-6-6-5-4-1-4-4-4-4-8-2-6-0-1-3-5-0-8-4-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 6-4-5-2-2-6-0-6-7-6-0-3-7-7-3-8-7-0-8-3-4-6-0-5-4-2-5-5-2-2-7-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 9-8-g-3-q-g-2-h-d-x-b-u-o-o-v-7-o-f-7-4-x-5-3-e-9-6-v-6-y-9-8-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 9-f-z-s-e-6-2-k-y-f-7-4-7-8-g-m-9-p-5-7-n-g-3-d-o-s-q-0-m-4-a-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 0-y-4-2-4-f-x-2-5-y-6-8-i-9-b-d-9-v-z-e-y-g-0-n-1-6-c-q-6-7-a-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 9-8-1-4-c-i-s-n-7-2-3-0-e-z-h-7-3-4-r-u-w-6-n-0-2-f-a-a-m-7-a-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 0-2-4-3-x-c-l-3-a-m-1-v-6-s-u-4-h-9-1-y-0-l-8-l-3-5-1-k-g-8-c-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 2-5-q-i-2-1-6-9-k-a-2-i-6-a-h-3-5-6-u-8-8-t-9-e-0-8-8-t-6-7-f-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 b-8-8-l-0-5-e-8-k-d-a-o-9-u-9-6-3-p-a-d-1-s-a-n-p-0-1-h-u-u-l-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 o-j-j-k-1-9-4-1-4-7-z-1-h-p-l-2-8-3-w-n-f-l-r-9-0-5-8-s-0-6-q-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 r-k-7-4-w-r-5-4-8-g-x-3-s-4-4-q-k-v-1-i-5-3-u-g-u-1-4-r-0-3-v-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 0-9-y-5-e-r-x-2-t-1-s-z-2-7-2-9-k-s-g-2-e-h-r-8-j-r-1-9-e-e-v-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 0-0-1-0-1-1-1-0-0-1-1-1-1-1-0-1-1-1-0-1-1-0-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 3-6-6-1-1-5-8-6-5-3-2-6-2-6-5-1-8-7-5-0-4-0-5-7-4-0-4-5-7-2-2-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 7-2-2-4-7-9-7-4-8-3-6-2-9-1-2-7-8-8-7-9-3-6-5-3-5-9-9-3-9-2-6-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 4-6-9-6-f-x-k-4-w-7-4-9-d-4-m-1-8-v-3-z-5-d-v-a-t-d-a-6-8-2-9-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 2-7-t-q-2-7-l-0-2-4-k-c-0-q-0-c-k-a-6-4-z-h-9-r-u-w-8-4-4-3-9-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 o-b-0-j-9-7-h-8-0-2-d-6-m-3-4-9-l-c-8-v-g-h-4-u-u-9-1-n-b-t-c-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 1-x-5-5-8-0-9-3-7-1-5-7-c-g-r-6-z-m-h-n-7-b-7-9-3-s-3-0-4-j-t-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 2-a-7-7-1-f-5-r-e-s-s-f-0-h-l-7-d-o-8-s-a-i-p-z-8-2-a-4-0-c-z-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 1-8-2-7-5-1-7-1-2-0-4-2-5-3-8-6-0-3-3-5-2-8-3-2-8-6-8-4-2-7-0-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 6-6-2-6-5-4-7-1-7-8-6-7-5-6-1-6-3-3-9-8-9-7-2-5-4-7-5-6-2-2-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 y-3-z-i-j-2-5-t-y-s-g-0-1-f-3-9-w-k-7-c-0-5-n-i-1-a-3-r-4-p-3-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 2-1-4-2-5-3-7-4-1-6-6-5-7-1-7-1-8-0-0-7-3-4-1-1-1-0-6-4-5-1-4-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 8-0-5-4-7-4-7-7-0-5-4-7-3-8-1-6-6-6-4-8-7-1-5-2-7-6-3-0-5-0-6-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 w-7-2-9-h-1-s-9-8-x-7-e-4-8-4-i-6-l-0-5-f-7-9-0-7-4-x-7-x-7-8-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 9-6-m-8-2-v-i-6-4-0-9-l-v-v-e-e-d-4-r-j-u-9-z-0-9-2-r-t-3-8-a-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132 6-h-o-f-m-7-8-7-g-4-e-p-x-1-z-1-a-0-0-4-3-3-k-8-j-9-n-7-z-4-s-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A รง jbalbfhkewo7i487fksd.info // The list of the current status of the domains in 96.126.108.132 // cross-checked by the current DNS status. // Format: (sub)domains, A record, NS(n+1) // see the below malicious domains is registered in CURRENTLY "alive" NS: 0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET,NS2.BASKINGSHARK.NET 0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET 0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET 0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET // Those domains also registered in an alive registrar (domain is alive/un-sinkholed) Domain ID:D47877641-LRMS Domain Name:0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.INFO Created On:24-Sep-2012 21:53:04 UTC Last Updated On:24-Nov-2012 20:30:19 UTC Expiration Date:24-Sep-2013 21:53:04 UTC <===================== Sponsoring Registrar:GoDaddy.com LLC (R171-LRMS) Status:CLIENT DELETE PROHIBITED Status:CLIENT RENEW PROHIBITED Status:CLIENT TRANSFER PROHIBITED Status:CLIENT UPDATE PROHIBITED Registrant ID:CR124733287 Registrant Name:Registration Private Registrant Organization:Domains By Proxy, LLC Registrant Street1:DomainsByProxy.com Registrant Street2:14747 N Northsight Blvd Suite 111, PMB 309 Registrant Street3: Registrant City:Scottsdale Registrant State/Province:Arizona Registrant Postal Code:85260 Registrant Country:US Registrant Phone:+1.4806242599 Registrant Phone Ext.: Registrant FAX:+1.4806242598 Registrant FAX Ext.: Registrant Email:0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.INFO@domainsbyproxy.com Domain ID:D47892810-LRMS Domain Name:0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.INFO Created On:26-Sep-2012 01:47:13 UTC Last Updated On:25-Nov-2012 20:30:39 UTC Expiration Date:26-Sep-2013 01:47:13 UTC <==================== Sponsoring Registrar:GoDaddy.com LLC (R171-LRMS) Status:CLIENT DELETE PROHIBITED Status:CLIENT RENEW PROHIBITED Status:CLIENT TRANSFER PROHIBITED Status:CLIENT UPDATE PROHIBITED Registrant ID:CR124817864 Registrant Name:Registration Private Registrant Organization:Domains By Proxy, LLC Registrant Street1:DomainsByProxy.com Registrant Street2:14747 N Northsight Blvd Suite 111, PMB 309 Registrant Street3: Registrant City:Scottsdale Registrant State/Province:Arizona Registrant Postal Code:85260 Registrant Country:US Registrant Phone:+1.4806242599 Registrant Phone Ext.: Registrant FAX:+1.4806242598 Registrant FAX Ext.: Registrant Email:0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.INFO@domainsbyproxy.com [...] (and so on...) // additionally... clickfremont.org,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET findcurly.org,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET reslove-dns.com,96.126.108.132,NS1.GREEN-MEAN.COM, NS2.GREEN-MEAN.COM searchalaska.org,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET searchalike.org,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET searchbrick.org,96.126.108.132, swastikano.net,96.126.108.132,NS1.SUSPENDED-DOMIAN.COM, NS2.SUSPENDED-DOMIAN.COM windows-update-server.com,96.126.108.132,NS1.GREEN-MEAN.COM, NS2.GREEN-MEAN.COM xylocomod.com,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET alotibi.xylocomod.com,96.126.108.132, arta.romail3arnest.info,96.126.108.132, bxrd.sendsmtp.com,96.126.108.132, cirimpapacirimpapa-fghbvsfdbfdbfd875t67rfv7dsgyvsu.com,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET clickfremont.org,96.126.108.132, dentbeen.eu,96.126.108.132, findcurly.org,96.126.108.132, findrasup.org,96.126.108.132, findwandering.org,96.126.108.132, hostmaster.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132, iwillhavesexygirls.com,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET li365-132.members.linode.com,96.126.108.132, love.swastikano.net,96.126.108.132, maillist.iwillhavesexygirls.com,96.126.108.132, manageha.2waky.com,96.126.108.132, n98usfhcyughdcsbchjb.com,,NS1.GREEN-MEAN.COM, NS2.GREEN-MEAN.COM ns1.clickfremont.org,96.126.108.132, ns1.searchalaska.org,96.126.108.132, ns1.searchbrick.org,96.126.108.132, ns2.clickfremont.org,96.126.108.132, ns2.findcurly.org,96.126.108.132, ns2.findrasup.org,96.126.108.132, ns2.searchalaska.org,96.126.108.132, ns2.searchalike.org,96.126.108.132, ns2.searchatmosphere.org,96.126.108.132, politicalnews.lflinkup.org,96.126.108.132, pufiluqudic.eu,, qjisnelmcjtg.com,96.126.108.132,NS1.SUSPENDED-DOMIAN.COM, NS2.SUSPENDED-DOMIAN.COM redhat.homeunix.com,96.126.108.132, reslove-dns.com,96.126.108.132,NS1.GREEN-MEAN.COM, NS2.GREEN-MEAN.COM romail3arnest.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET searchalaska.org,96.126.108.132, searchalike.org,96.126.108.132, searchalphabet.org,96.126.108.132, searchatmosphere.org,96.126.108.132, searchbrick.org,96.126.108.132, servf.zyns.com,96.126.108.132, spotrate.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET swastikano.net,96.126.108.132,NS1.SUSPENDED-DOMIAN.COM, NS2.SUSPENDED-DOMIAN.COM tep.xylocomod.com,96.126.108.132, update.longmusic.com,96.126.108.132, vfdykmselcv.com,96.126.108.132,NS1.SUSPENDED-DOMIAN.COM, NS2.SUSPENDED-DOMIAN.COM wesaf341.org,96.126.108.132, windows-update-server.com,96.126.108.132,NS1.GREEN-MEAN.COM, NS2.GREEN-MEAN.COM woskagz.dyndns.org,96.126.108.132, wsef32asd1.org,96.126.108.132, www.bxrd.sendsmtp.com,96.126.108.132, www.reslove-dns.com,96.126.108.132, www.searchalaska.org,96.126.108.132, www.windows-update-server.com,96.126.108.132, xylocomod.com,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET zeqsmmiwj3d.com,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET 0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET 0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET 0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET 0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET 0-0-0-0-1-0-0-1-1-0-0-0-1-0-0-1-0-1-1-0-0-1-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132, 0-0-0-1-0-1-1-1-1-1-0-1-0-1-1-1-1-0-0-0-0-0-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132, 0-0-1-0-1-1-1-0-0-1-1-1-1-1-0-1-1-1-0-1-1-0-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132, 0-1-0-0-0-0-0-1-1-0-0-1-0-0-0-0-1-0-1-0-1-0-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132, 0-1-0-0-0-0-0-1-1-0-0-1-0-0-0-0-1-0-1-0-1-0-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132, 0-1-0-0-0-0-0-1-1-0-0-1-0-0-0-0-1-0-1-0-1-0-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132, 9-1-3-5-1-4-3-1-1-0-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132, // ISP responsible: LINODE NetRange: 96.126.96.0 - 96.126.127.255 CIDR: 96.126.96.0/19 OriginAS: NetName: LINODE-US NetHandle: NET-96-126-96-0-1 Parent: NET-96-0-0-0-0 NetType: Direct Allocation Comment: This block is used for static customer allocations. RegDate: 2011-05-06 Updated: 2012-02-24 Ref: http://whois.arin.net/rest/net/NET-96-126-96-0-1 OrgName: Linode OrgId: LINOD Address: 329 E. Jimmie Leeds Road Address: Suite A City: Galloway StateProv: NJ PostalCode: 08205 Country: US RegDate: 2008-04-24 Updated: 2010-08-31 Comment: http://www.linode.com Ref: http://whois.arin.net/rest/org/LINOD // And.. what's the LINODE will have to say about this? // As follow ups, our report was being denied by LINODE, as per below - // original email replied by their person in charge: -------snip---original-email------ From: Danny Ariti Date: 1 May 2013 02:26 Subject: Re: 96.126.108.132 To: xxxx Hello xxx, Thank you for the report. We've been working with this customer for some time and can assure you that nothing malicious is originating from the Linode in question. The customer is part of a "good guy network" and is not partaking in any nefarious activities, but is rather part of a security research firm which specialises in protecting users from online threats. Keeping our network clean is paramount to us, so you can rest assured that these reports are closely monitored. Let us know if we can be of any additional assistance. Best Regards, Danny Ariti Linode, LLC On 01/05/2013, at 6:07 AM, Jonathan Curry wrote: > Hello, > > Thank you for making us aware of this issue. We have opened a ticket with the customer in question. > > If there is anything else we can do for you, please let us know. > > Regards, > > Jonathan Curry > Linode, LLC > +1 855-4-LINODE 1 May 2013 15:23 // In plain english the PIC tried to explain SINKHOLE. --- #malwaremustdie