Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- // #MalwareMustDie - May, 1st, 2013|23:55 JST | @unixfreaxjp
- // ALIVE Infector malware callbacks ITW with %HEX% subdomains/domains + .info
- //
- // Verdict:
- // Is the callbacks IP made by the VB/"Silly" Worm, as per detected by
- // infection report received at April 30th, 2013 (so new for an 2011 malware, question is WHY?)
- // antivirus products as below malware names:
- Worm.Win32.AutoRun.bhqn [Kaspersky Lab]
- Swisyn.p [McAfee]
- Mal/VB-BL [Sophos]
- VirTool:Win32/VBInject.gen!FU [Microsoft]
- Worm.Win32.AutoRun [Ikarus]
- // Proof of verdict is the URL sent by the malware described in here:
- http://www.threatexpert.com/report.aspx?md5=239e3b7b82107f839e608253fa3632b1
- https://www.avira.com/en/support-threats-description?tid=5941&tlang=tr
- additionally investigated also in the Dynamoo report as malicious:
- http://blog.dynamoo.com/2013/04/something-evil-on-96126108132.html
- //domains used for the callback:
- *.0-0-0-0-0-0-0-0-0-0-0-0-0-8-0-0-0-0-0-0-0-0-0-0-0-0-0.info
- // subdomains..
- [binary-mask].0-0-0-0-0-0-0-0-0-0-0-0-0-8-0-0-0-0-0-0-0-0-0-0-0-0-0.info
- // in example:
- // (1)
- 0-0-0-0-1-0-1-0-1-0-1-1-1-0-1-0-1-0-0-1-0-1-0-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-8-0-0-0-0-0-0-0-0-0-0-0-0-0.info
- // (2)
- 8-8-0-1-2-3-0-2-0-0-.0-0-0-0-0-0-0-0-0-0-0-0-0-8-0-0-0-0-0-0-0-0-0-0-0-0-0.info
- www.0-0-0-0-0-0-0-0-0-0-0-0-0-8-0-0-0-0-0-0-0-0-0-0-0-0-0.info
- //=============
- // PoC:
- //=============
- // (1)DNS up & alive PoC: request replied at .info TLD
- serial 2010196708 +-a0.info.afilias-nst.info (199.254.31.1)
- serial 2010196708 | +-a2.info.afilias-nst.info (199.249.113.1)
- serial 2010196708 | | +-b0.info.afilias-nst.org (199.254.48.1)
- serial 2010196708 | | | +-b2.info.afilias-nst.org (199.249.121.1)
- serial 2010196707 | | | | +-c0.info.afilias-nst.info (199.254.49.1)
- serial 2010196708 | | | | | +-d0.info.afilias-nst.org (199.254.50.1)
- | | | | | |
- // origin IP ADDRESS: 96.126.108.132
- // With Proof of Concept: pDNS records shows:
- // URL:
- http://www.bfk.de/bfk_dnslogger.html?query=96.126.108.132#result
- https://www.virustotal.com/en/ip-address/96.126.108.132/information/
- 0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 4-7-5-3-0-1-1-2-8-4-6-7-6-6-1-0-8-7-5-7-2-1-8-6-2-7-1-2-2-8-0-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 0-0-0-0-1-0-0-1-1-0-0-0-1-0-0-1-0-1-1-0-0-1-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- y-4-5-3-k-a-n-6-2-w-p-b-s-2-4-i-3-t-0-4-k-7-3-r-a-t-6-p-f-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- r-2-8-l-3-d-a-0-c-0-r-4-6-u-l-p-6-7-a-4-1-k-9-2-c-8-8-9-z-3-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 3-4-4-6-0-5-8-3-1-3-6-3-3-6-3-6-4-1-2-0-8-2-5-2-7-2-7-1-2-0-4-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 1-7-1-3-7-0-4-6-7-0-8-0-2-4-3-5-6-8-7-1-2-8-2-8-3-5-8-1-3-1-5-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 3-4-5-3-3-8-5-7-2-8-6-0-1-6-5-8-0-3-5-6-3-2-8-6-8-6-5-0-3-8-6-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 8-8-6-2-6-4-2-6-9-9-5-5-4-6-4-5-2-9-6-4-8-6-2-9-8-5-2-6-3-2-7-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 1-9-5-7-3-2-4-4-5-4-7-3-2-7-2-4-5-5-5-2-3-8-5-2-1-2-1-4-6-2-7-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 8-6-5-7-7-9-6-5-2-9-9-2-2-2-5-7-9-4-5-9-5-7-5-4-3-2-6-3-3-5-7-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 3-6-j-6-a-y-j-1-h-q-m-b-z-m-3-2-s-5-p-0-f-7-1-0-0-h-f-2-7-g-d-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 8-9-3-6-8-0-8-0-4-j-6-0-v-w-y-o-h-8-u-0-y-q-1-1-g-t-4-1-3-6-f-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- n-o-2-8-1-6-k-y-0-e-8-x-j-g-0-e-8-a-a-p-0-1-b-8-c-4-e-z-b-f-p-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 0-4-5-8-o-3-q-6-t-k-m-r-b-a-m-8-v-w-0-v-6-p-1-4-0-i-v-1-s-d-u-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 2-m-1-m-s-g-f-1-6-k-5-4-5-f-d-f-9-7-2-v-c-2-9-j-d-6-7-8-8-c-x-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 0-0-1-0-0-0-1-0-1-0-0-1-0-0-1-0-0-0-0-1-1-0-0-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 1-6-1-5-6-3-0-2-3-8-3-3-6-6-5-4-1-4-4-4-4-8-2-6-0-1-3-5-0-8-4-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 6-4-5-2-2-6-0-6-7-6-0-3-7-7-3-8-7-0-8-3-4-6-0-5-4-2-5-5-2-2-7-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 9-8-g-3-q-g-2-h-d-x-b-u-o-o-v-7-o-f-7-4-x-5-3-e-9-6-v-6-y-9-8-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 9-f-z-s-e-6-2-k-y-f-7-4-7-8-g-m-9-p-5-7-n-g-3-d-o-s-q-0-m-4-a-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 0-y-4-2-4-f-x-2-5-y-6-8-i-9-b-d-9-v-z-e-y-g-0-n-1-6-c-q-6-7-a-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 9-8-1-4-c-i-s-n-7-2-3-0-e-z-h-7-3-4-r-u-w-6-n-0-2-f-a-a-m-7-a-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 0-2-4-3-x-c-l-3-a-m-1-v-6-s-u-4-h-9-1-y-0-l-8-l-3-5-1-k-g-8-c-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 2-5-q-i-2-1-6-9-k-a-2-i-6-a-h-3-5-6-u-8-8-t-9-e-0-8-8-t-6-7-f-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- b-8-8-l-0-5-e-8-k-d-a-o-9-u-9-6-3-p-a-d-1-s-a-n-p-0-1-h-u-u-l-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- o-j-j-k-1-9-4-1-4-7-z-1-h-p-l-2-8-3-w-n-f-l-r-9-0-5-8-s-0-6-q-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- r-k-7-4-w-r-5-4-8-g-x-3-s-4-4-q-k-v-1-i-5-3-u-g-u-1-4-r-0-3-v-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 0-9-y-5-e-r-x-2-t-1-s-z-2-7-2-9-k-s-g-2-e-h-r-8-j-r-1-9-e-e-v-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 0-0-1-0-1-1-1-0-0-1-1-1-1-1-0-1-1-1-0-1-1-0-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 3-6-6-1-1-5-8-6-5-3-2-6-2-6-5-1-8-7-5-0-4-0-5-7-4-0-4-5-7-2-2-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 7-2-2-4-7-9-7-4-8-3-6-2-9-1-2-7-8-8-7-9-3-6-5-3-5-9-9-3-9-2-6-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 4-6-9-6-f-x-k-4-w-7-4-9-d-4-m-1-8-v-3-z-5-d-v-a-t-d-a-6-8-2-9-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 2-7-t-q-2-7-l-0-2-4-k-c-0-q-0-c-k-a-6-4-z-h-9-r-u-w-8-4-4-3-9-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- o-b-0-j-9-7-h-8-0-2-d-6-m-3-4-9-l-c-8-v-g-h-4-u-u-9-1-n-b-t-c-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 1-x-5-5-8-0-9-3-7-1-5-7-c-g-r-6-z-m-h-n-7-b-7-9-3-s-3-0-4-j-t-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 2-a-7-7-1-f-5-r-e-s-s-f-0-h-l-7-d-o-8-s-a-i-p-z-8-2-a-4-0-c-z-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 1-8-2-7-5-1-7-1-2-0-4-2-5-3-8-6-0-3-3-5-2-8-3-2-8-6-8-4-2-7-0-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 6-6-2-6-5-4-7-1-7-8-6-7-5-6-1-6-3-3-9-8-9-7-2-5-4-7-5-6-2-2-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- y-3-z-i-j-2-5-t-y-s-g-0-1-f-3-9-w-k-7-c-0-5-n-i-1-a-3-r-4-p-3-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 2-1-4-2-5-3-7-4-1-6-6-5-7-1-7-1-8-0-0-7-3-4-1-1-1-0-6-4-5-1-4-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 8-0-5-4-7-4-7-7-0-5-4-7-3-8-1-6-6-6-4-8-7-1-5-2-7-6-3-0-5-0-6-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- w-7-2-9-h-1-s-9-8-x-7-e-4-8-4-i-6-l-0-5-f-7-9-0-7-4-x-7-x-7-8-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 9-6-m-8-2-v-i-6-4-0-9-l-v-v-e-e-d-4-r-j-u-9-z-0-9-2-r-t-3-8-a-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A 96.126.108.132
- 6-h-o-f-m-7-8-7-g-4-e-p-x-1-z-1-a-0-0-4-3-3-k-8-j-9-n-7-z-4-s-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info A ç
- jbalbfhkewo7i487fksd.info
- // The list of the current status of the domains in 96.126.108.132
- // cross-checked by the current DNS status.
- // Format: (sub)domains, A record, NS(n+1)
- // see the below malicious domains is registered in CURRENTLY "alive" NS:
- 0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET,NS2.BASKINGSHARK.NET
- 0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- 0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- 0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- // Those domains also registered in an alive registrar (domain is alive/un-sinkholed)
- Domain ID:D47877641-LRMS
- Domain Name:0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.INFO
- Created On:24-Sep-2012 21:53:04 UTC
- Last Updated On:24-Nov-2012 20:30:19 UTC
- Expiration Date:24-Sep-2013 21:53:04 UTC <=====================
- Sponsoring Registrar:GoDaddy.com LLC (R171-LRMS)
- Status:CLIENT DELETE PROHIBITED
- Status:CLIENT RENEW PROHIBITED
- Status:CLIENT TRANSFER PROHIBITED
- Status:CLIENT UPDATE PROHIBITED
- Registrant ID:CR124733287
- Registrant Name:Registration Private
- Registrant Organization:Domains By Proxy, LLC
- Registrant Street1:DomainsByProxy.com
- Registrant Street2:14747 N Northsight Blvd Suite 111, PMB 309
- Registrant Street3:
- Registrant City:Scottsdale
- Registrant State/Province:Arizona
- Registrant Postal Code:85260
- Registrant Country:US
- Registrant Phone:+1.4806242599
- Registrant Phone Ext.:
- Registrant FAX:+1.4806242598
- Registrant FAX Ext.:
- Registrant Email:0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.INFO@domainsbyproxy.com
- Domain ID:D47892810-LRMS
- Domain Name:0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.INFO
- Created On:26-Sep-2012 01:47:13 UTC
- Last Updated On:25-Nov-2012 20:30:39 UTC
- Expiration Date:26-Sep-2013 01:47:13 UTC <====================
- Sponsoring Registrar:GoDaddy.com LLC (R171-LRMS)
- Status:CLIENT DELETE PROHIBITED
- Status:CLIENT RENEW PROHIBITED
- Status:CLIENT TRANSFER PROHIBITED
- Status:CLIENT UPDATE PROHIBITED
- Registrant ID:CR124817864
- Registrant Name:Registration Private
- Registrant Organization:Domains By Proxy, LLC
- Registrant Street1:DomainsByProxy.com
- Registrant Street2:14747 N Northsight Blvd Suite 111, PMB 309
- Registrant Street3:
- Registrant City:Scottsdale
- Registrant State/Province:Arizona
- Registrant Postal Code:85260
- Registrant Country:US
- Registrant Phone:+1.4806242599
- Registrant Phone Ext.:
- Registrant FAX:+1.4806242598
- Registrant FAX Ext.:
- Registrant Email:0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.INFO@domainsbyproxy.com
- [...] (and so on...)
- // additionally...
- clickfremont.org,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- findcurly.org,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- reslove-dns.com,96.126.108.132,NS1.GREEN-MEAN.COM, NS2.GREEN-MEAN.COM
- searchalaska.org,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- searchalike.org,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- searchbrick.org,96.126.108.132,
- swastikano.net,96.126.108.132,NS1.SUSPENDED-DOMIAN.COM, NS2.SUSPENDED-DOMIAN.COM
- windows-update-server.com,96.126.108.132,NS1.GREEN-MEAN.COM, NS2.GREEN-MEAN.COM
- xylocomod.com,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- alotibi.xylocomod.com,96.126.108.132,
- arta.romail3arnest.info,96.126.108.132,
- bxrd.sendsmtp.com,96.126.108.132,
- cirimpapacirimpapa-fghbvsfdbfdbfd875t67rfv7dsgyvsu.com,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- clickfremont.org,96.126.108.132,
- dentbeen.eu,96.126.108.132,
- findcurly.org,96.126.108.132,
- findrasup.org,96.126.108.132,
- findwandering.org,96.126.108.132,
- hostmaster.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,
- iwillhavesexygirls.com,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- li365-132.members.linode.com,96.126.108.132,
- love.swastikano.net,96.126.108.132,
- maillist.iwillhavesexygirls.com,96.126.108.132,
- manageha.2waky.com,96.126.108.132,
- n98usfhcyughdcsbchjb.com,,NS1.GREEN-MEAN.COM, NS2.GREEN-MEAN.COM
- ns1.clickfremont.org,96.126.108.132,
- ns1.searchalaska.org,96.126.108.132,
- ns1.searchbrick.org,96.126.108.132,
- ns2.clickfremont.org,96.126.108.132,
- ns2.findcurly.org,96.126.108.132,
- ns2.findrasup.org,96.126.108.132,
- ns2.searchalaska.org,96.126.108.132,
- ns2.searchalike.org,96.126.108.132,
- ns2.searchatmosphere.org,96.126.108.132,
- politicalnews.lflinkup.org,96.126.108.132,
- pufiluqudic.eu,,
- qjisnelmcjtg.com,96.126.108.132,NS1.SUSPENDED-DOMIAN.COM, NS2.SUSPENDED-DOMIAN.COM
- redhat.homeunix.com,96.126.108.132,
- reslove-dns.com,96.126.108.132,NS1.GREEN-MEAN.COM, NS2.GREEN-MEAN.COM
- romail3arnest.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- searchalaska.org,96.126.108.132,
- searchalike.org,96.126.108.132,
- searchalphabet.org,96.126.108.132,
- searchatmosphere.org,96.126.108.132,
- searchbrick.org,96.126.108.132,
- servf.zyns.com,96.126.108.132,
- spotrate.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- swastikano.net,96.126.108.132,NS1.SUSPENDED-DOMIAN.COM, NS2.SUSPENDED-DOMIAN.COM
- tep.xylocomod.com,96.126.108.132,
- update.longmusic.com,96.126.108.132,
- vfdykmselcv.com,96.126.108.132,NS1.SUSPENDED-DOMIAN.COM, NS2.SUSPENDED-DOMIAN.COM
- wesaf341.org,96.126.108.132,
- windows-update-server.com,96.126.108.132,NS1.GREEN-MEAN.COM, NS2.GREEN-MEAN.COM
- woskagz.dyndns.org,96.126.108.132,
- wsef32asd1.org,96.126.108.132,
- www.bxrd.sendsmtp.com,96.126.108.132,
- www.reslove-dns.com,96.126.108.132,
- www.searchalaska.org,96.126.108.132,
- www.windows-update-server.com,96.126.108.132,
- xylocomod.com,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- zeqsmmiwj3d.com,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- 0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- 0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- 0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- 0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
- 0-0-0-0-1-0-0-1-1-0-0-0-1-0-0-1-0-1-1-0-0-1-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,
- 0-0-0-1-0-1-1-1-1-1-0-1-0-1-1-1-1-0-0-0-0-0-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,
- 0-0-1-0-1-1-1-0-0-1-1-1-1-1-0-1-1-1-0-1-1-0-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,
- 0-1-0-0-0-0-0-1-1-0-0-1-0-0-0-0-1-0-1-0-1-0-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,
- 0-1-0-0-0-0-0-1-1-0-0-1-0-0-0-0-1-0-1-0-1-0-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,
- 0-1-0-0-0-0-0-1-1-0-0-1-0-0-0-0-1-0-1-0-1-0-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,
- 9-1-3-5-1-4-3-1-1-0-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,
- // ISP responsible: LINODE
- NetRange: 96.126.96.0 - 96.126.127.255
- CIDR: 96.126.96.0/19
- OriginAS:
- NetName: LINODE-US
- NetHandle: NET-96-126-96-0-1
- Parent: NET-96-0-0-0-0
- NetType: Direct Allocation
- Comment: This block is used for static customer allocations.
- RegDate: 2011-05-06
- Updated: 2012-02-24
- Ref: http://whois.arin.net/rest/net/NET-96-126-96-0-1
- OrgName: Linode
- OrgId: LINOD
- Address: 329 E. Jimmie Leeds Road
- Address: Suite A
- City: Galloway
- StateProv: NJ
- PostalCode: 08205
- Country: US
- RegDate: 2008-04-24
- Updated: 2010-08-31
- Comment: http://www.linode.com
- Ref: http://whois.arin.net/rest/org/LINOD
- // And.. what's the LINODE will have to say about this?
- // As follow ups, our report was being denied by LINODE, as per below -
- // original email replied by their person in charge:
- -------snip---original-email------
- From: Danny Ariti
- Date: 1 May 2013 02:26
- Subject: Re: 96.126.108.132
- To: xxxx
- Hello xxx,
- Thank you for the report. We've been working with this customer for some time and can assure you that nothing malicious is originating from the Linode in question. The customer is part of a "good guy network" and is not partaking in any nefarious activities, but is rather part of a security research firm which specialises in protecting users from online threats.
- Keeping our network clean is paramount to us, so you can rest assured that these reports are closely monitored.
- Let us know if we can be of any additional assistance.
- Best Regards,
- Danny Ariti
- Linode, LLC
- On 01/05/2013, at 6:07 AM, Jonathan Curry wrote:
- > Hello,
- >
- > Thank you for making us aware of this issue. We have opened a ticket with the customer in question.
- >
- > If there is anything else we can do for you, please let us know.
- >
- > Regards,
- >
- > Jonathan Curry
- > Linode, LLC
- > +1 855-4-LINODE
- 1 May 2013 15:23
- // In plain english the PIC tried to explain SINKHOLE.
- ---
- #malwaremustdie
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement