SHARE
TWEET

VB/Worm callbacks domains %HEX%.info on 96.126.108.132

MalwareMustDie Apr 30th, 2013 446 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. // #MalwareMustDie - May, 1st, 2013|23:55 JST | @unixfreaxjp
  2. // ALIVE Infector malware callbacks ITW with %HEX% subdomains/domains  + .info
  3. //
  4. // Verdict:
  5. // Is the callbacks IP made by the VB/"Silly" Worm, as per detected by
  6. // infection report received at April 30th, 2013 (so new for an 2011 malware, question is WHY?)
  7. // antivirus products as below malware names:
  8.      Worm.Win32.AutoRun.bhqn [Kaspersky Lab]
  9.      Swisyn.p [McAfee]
  10.      Mal/VB-BL [Sophos]
  11.      VirTool:Win32/VBInject.gen!FU [Microsoft]
  12.      Worm.Win32.AutoRun [Ikarus]
  13.  
  14. // Proof of verdict is the URL sent by the malware described in here:
  15.      http://www.threatexpert.com/report.aspx?md5=239e3b7b82107f839e608253fa3632b1
  16.      https://www.avira.com/en/support-threats-description?tid=5941&tlang=tr
  17.    additionally investigated also in the Dynamoo report as malicious:
  18.      http://blog.dynamoo.com/2013/04/something-evil-on-96126108132.html
  19.  
  20. //domains used for the callback:
  21.      *.0-0-0-0-0-0-0-0-0-0-0-0-0-8-0-0-0-0-0-0-0-0-0-0-0-0-0.info
  22.    
  23. // subdomains..
  24.     [binary-mask].0-0-0-0-0-0-0-0-0-0-0-0-0-8-0-0-0-0-0-0-0-0-0-0-0-0-0.info
  25.  
  26. // in example:
  27. // (1)
  28.    0-0-0-0-1-0-1-0-1-0-1-1-1-0-1-0-1-0-0-1-0-1-0-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-8-0-0-0-0-0-0-0-0-0-0-0-0-0.info
  29. // (2)
  30.    8-8-0-1-2-3-0-2-0-0-.0-0-0-0-0-0-0-0-0-0-0-0-0-8-0-0-0-0-0-0-0-0-0-0-0-0-0.info
  31. www.0-0-0-0-0-0-0-0-0-0-0-0-0-8-0-0-0-0-0-0-0-0-0-0-0-0-0.info
  32.  
  33. //=============
  34. // PoC:
  35. //=============
  36.  
  37. // (1)DNS up & alive PoC: request replied at .info TLD
  38.  
  39. serial 2010196708       +-a0.info.afilias-nst.info (199.254.31.1)
  40. serial 2010196708       |       +-a2.info.afilias-nst.info (199.249.113.1)
  41. serial 2010196708       |       |       +-b0.info.afilias-nst.org (199.254.48.1)
  42. serial 2010196708       |       |       |       +-b2.info.afilias-nst.org (199.249.121.1)
  43. serial 2010196707       |       |       |       |       +-c0.info.afilias-nst.info (199.254.49.1)
  44. serial 2010196708       |       |       |       |       |       +-d0.info.afilias-nst.org (199.254.50.1)
  45.         |       |       |       |       |       |
  46.  
  47.  
  48. // origin IP ADDRESS: 96.126.108.132
  49. // With Proof of Concept: pDNS records shows:
  50. // URL:
  51.    http://www.bfk.de/bfk_dnslogger.html?query=96.126.108.132#result
  52.    https://www.virustotal.com/en/ip-address/96.126.108.132/information/
  53.  
  54. 0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  55. 4-7-5-3-0-1-1-2-8-4-6-7-6-6-1-0-8-7-5-7-2-1-8-6-2-7-1-2-2-8-0-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info        A      96.126.108.132
  56. 0-0-0-0-1-0-0-1-1-0-0-0-1-0-0-1-0-1-1-0-0-1-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info        A      96.126.108.132
  57. y-4-5-3-k-a-n-6-2-w-p-b-s-2-4-i-3-t-0-4-k-7-3-r-a-t-6-p-f-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info        A      96.126.108.132
  58. r-2-8-l-3-d-a-0-c-0-r-4-6-u-l-p-6-7-a-4-1-k-9-2-c-8-8-9-z-3-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info        A      96.126.108.132
  59. 3-4-4-6-0-5-8-3-1-3-6-3-3-6-3-6-4-1-2-0-8-2-5-2-7-2-7-1-2-0-4-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info        A      96.126.108.132
  60. 1-7-1-3-7-0-4-6-7-0-8-0-2-4-3-5-6-8-7-1-2-8-2-8-3-5-8-1-3-1-5-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info        A      96.126.108.132
  61. 3-4-5-3-3-8-5-7-2-8-6-0-1-6-5-8-0-3-5-6-3-2-8-6-8-6-5-0-3-8-6-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info        A      96.126.108.132
  62. 8-8-6-2-6-4-2-6-9-9-5-5-4-6-4-5-2-9-6-4-8-6-2-9-8-5-2-6-3-2-7-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info        A      96.126.108.132
  63. 1-9-5-7-3-2-4-4-5-4-7-3-2-7-2-4-5-5-5-2-3-8-5-2-1-2-1-4-6-2-7-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info        A      96.126.108.132
  64. 8-6-5-7-7-9-6-5-2-9-9-2-2-2-5-7-9-4-5-9-5-7-5-4-3-2-6-3-3-5-7-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info        A      96.126.108.132
  65. 3-6-j-6-a-y-j-1-h-q-m-b-z-m-3-2-s-5-p-0-f-7-1-0-0-h-f-2-7-g-d-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info        A      96.126.108.132
  66. 8-9-3-6-8-0-8-0-4-j-6-0-v-w-y-o-h-8-u-0-y-q-1-1-g-t-4-1-3-6-f-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info        A      96.126.108.132
  67. n-o-2-8-1-6-k-y-0-e-8-x-j-g-0-e-8-a-a-p-0-1-b-8-c-4-e-z-b-f-p-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info        A      96.126.108.132
  68. 0-4-5-8-o-3-q-6-t-k-m-r-b-a-m-8-v-w-0-v-6-p-1-4-0-i-v-1-s-d-u-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info        A      96.126.108.132
  69. 2-m-1-m-s-g-f-1-6-k-5-4-5-f-d-f-9-7-2-v-c-2-9-j-d-6-7-8-8-c-x-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info        A      96.126.108.132
  70. 0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info      A      96.126.108.132
  71. 0-0-1-0-0-0-1-0-1-0-0-1-0-0-1-0-0-0-0-1-1-0-0-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  72. 1-6-1-5-6-3-0-2-3-8-3-3-6-6-5-4-1-4-4-4-4-8-2-6-0-1-3-5-0-8-4-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  73. 6-4-5-2-2-6-0-6-7-6-0-3-7-7-3-8-7-0-8-3-4-6-0-5-4-2-5-5-2-2-7-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  74. 9-8-g-3-q-g-2-h-d-x-b-u-o-o-v-7-o-f-7-4-x-5-3-e-9-6-v-6-y-9-8-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  75. 9-f-z-s-e-6-2-k-y-f-7-4-7-8-g-m-9-p-5-7-n-g-3-d-o-s-q-0-m-4-a-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  76. 0-y-4-2-4-f-x-2-5-y-6-8-i-9-b-d-9-v-z-e-y-g-0-n-1-6-c-q-6-7-a-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  77. 9-8-1-4-c-i-s-n-7-2-3-0-e-z-h-7-3-4-r-u-w-6-n-0-2-f-a-a-m-7-a-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  78. 0-2-4-3-x-c-l-3-a-m-1-v-6-s-u-4-h-9-1-y-0-l-8-l-3-5-1-k-g-8-c-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  79. 2-5-q-i-2-1-6-9-k-a-2-i-6-a-h-3-5-6-u-8-8-t-9-e-0-8-8-t-6-7-f-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  80. b-8-8-l-0-5-e-8-k-d-a-o-9-u-9-6-3-p-a-d-1-s-a-n-p-0-1-h-u-u-l-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  81. o-j-j-k-1-9-4-1-4-7-z-1-h-p-l-2-8-3-w-n-f-l-r-9-0-5-8-s-0-6-q-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  82. r-k-7-4-w-r-5-4-8-g-x-3-s-4-4-q-k-v-1-i-5-3-u-g-u-1-4-r-0-3-v-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  83. 0-9-y-5-e-r-x-2-t-1-s-z-2-7-2-9-k-s-g-2-e-h-r-8-j-r-1-9-e-e-v-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  84. 0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info      A      96.126.108.132
  85. 0-0-1-0-1-1-1-0-0-1-1-1-1-1-0-1-1-1-0-1-1-0-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  86. 3-6-6-1-1-5-8-6-5-3-2-6-2-6-5-1-8-7-5-0-4-0-5-7-4-0-4-5-7-2-2-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  87. 7-2-2-4-7-9-7-4-8-3-6-2-9-1-2-7-8-8-7-9-3-6-5-3-5-9-9-3-9-2-6-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  88. 4-6-9-6-f-x-k-4-w-7-4-9-d-4-m-1-8-v-3-z-5-d-v-a-t-d-a-6-8-2-9-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  89. 2-7-t-q-2-7-l-0-2-4-k-c-0-q-0-c-k-a-6-4-z-h-9-r-u-w-8-4-4-3-9-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  90. o-b-0-j-9-7-h-8-0-2-d-6-m-3-4-9-l-c-8-v-g-h-4-u-u-9-1-n-b-t-c-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  91. 1-x-5-5-8-0-9-3-7-1-5-7-c-g-r-6-z-m-h-n-7-b-7-9-3-s-3-0-4-j-t-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  92. 2-a-7-7-1-f-5-r-e-s-s-f-0-h-l-7-d-o-8-s-a-i-p-z-8-2-a-4-0-c-z-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  93. 0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info      A      96.126.108.132
  94. 1-8-2-7-5-1-7-1-2-0-4-2-5-3-8-6-0-3-3-5-2-8-3-2-8-6-8-4-2-7-0-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  95. 6-6-2-6-5-4-7-1-7-8-6-7-5-6-1-6-3-3-9-8-9-7-2-5-4-7-5-6-2-2-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  96. y-3-z-i-j-2-5-t-y-s-g-0-1-f-3-9-w-k-7-c-0-5-n-i-1-a-3-r-4-p-3-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  97. 2-1-4-2-5-3-7-4-1-6-6-5-7-1-7-1-8-0-0-7-3-4-1-1-1-0-6-4-5-1-4-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  98. 8-0-5-4-7-4-7-7-0-5-4-7-3-8-1-6-6-6-4-8-7-1-5-2-7-6-3-0-5-0-6-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  99. w-7-2-9-h-1-s-9-8-x-7-e-4-8-4-i-6-l-0-5-f-7-9-0-7-4-x-7-x-7-8-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  100. 9-6-m-8-2-v-i-6-4-0-9-l-v-v-e-e-d-4-r-j-u-9-z-0-9-2-r-t-3-8-a-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      96.126.108.132
  101. 6-h-o-f-m-7-8-7-g-4-e-p-x-1-z-1-a-0-0-4-3-3-k-8-j-9-n-7-z-4-s-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info       A      รง
  102. jbalbfhkewo7i487fksd.info
  103.  
  104.  
  105. // The list of the current status of the domains in 96.126.108.132
  106. // cross-checked by the current DNS status.
  107. // Format: (sub)domains, A record, NS(n+1)
  108.  
  109. // see the below malicious domains is registered in CURRENTLY "alive" NS:
  110. 0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET,NS2.BASKINGSHARK.NET
  111. 0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  112. 0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  113. 0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  114.  
  115.  
  116. // Those domains also registered in an alive registrar (domain is alive/un-sinkholed)
  117.  
  118. Domain ID:D47877641-LRMS
  119. Domain Name:0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.INFO
  120. Created On:24-Sep-2012 21:53:04 UTC
  121. Last Updated On:24-Nov-2012 20:30:19 UTC
  122. Expiration Date:24-Sep-2013 21:53:04 UTC  <=====================
  123. Sponsoring Registrar:GoDaddy.com LLC (R171-LRMS)
  124. Status:CLIENT DELETE PROHIBITED
  125. Status:CLIENT RENEW PROHIBITED
  126. Status:CLIENT TRANSFER PROHIBITED
  127. Status:CLIENT UPDATE PROHIBITED
  128. Registrant ID:CR124733287
  129. Registrant Name:Registration Private
  130. Registrant Organization:Domains By Proxy, LLC
  131. Registrant Street1:DomainsByProxy.com
  132. Registrant Street2:14747 N Northsight Blvd Suite 111, PMB 309
  133. Registrant Street3:
  134. Registrant City:Scottsdale
  135. Registrant State/Province:Arizona
  136. Registrant Postal Code:85260
  137. Registrant Country:US
  138. Registrant Phone:+1.4806242599
  139. Registrant Phone Ext.:
  140. Registrant FAX:+1.4806242598
  141. Registrant FAX Ext.:
  142. Registrant Email:0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.INFO@domainsbyproxy.com
  143.  
  144. Domain ID:D47892810-LRMS
  145. Domain Name:0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.INFO
  146. Created On:26-Sep-2012 01:47:13 UTC
  147. Last Updated On:25-Nov-2012 20:30:39 UTC
  148. Expiration Date:26-Sep-2013 01:47:13 UTC   <====================
  149. Sponsoring Registrar:GoDaddy.com LLC (R171-LRMS)
  150. Status:CLIENT DELETE PROHIBITED
  151. Status:CLIENT RENEW PROHIBITED
  152. Status:CLIENT TRANSFER PROHIBITED
  153. Status:CLIENT UPDATE PROHIBITED
  154. Registrant ID:CR124817864
  155. Registrant Name:Registration Private
  156. Registrant Organization:Domains By Proxy, LLC
  157. Registrant Street1:DomainsByProxy.com
  158. Registrant Street2:14747 N Northsight Blvd Suite 111, PMB 309
  159. Registrant Street3:
  160. Registrant City:Scottsdale
  161. Registrant State/Province:Arizona
  162. Registrant Postal Code:85260
  163. Registrant Country:US
  164. Registrant Phone:+1.4806242599
  165. Registrant Phone Ext.:
  166. Registrant FAX:+1.4806242598
  167. Registrant FAX Ext.:
  168. Registrant Email:0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.INFO@domainsbyproxy.com
  169. [...] (and so on...)
  170.  
  171. // additionally...
  172.  
  173. clickfremont.org,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  174. findcurly.org,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  175. reslove-dns.com,96.126.108.132,NS1.GREEN-MEAN.COM, NS2.GREEN-MEAN.COM
  176. searchalaska.org,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  177. searchalike.org,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  178. searchbrick.org,96.126.108.132,
  179. swastikano.net,96.126.108.132,NS1.SUSPENDED-DOMIAN.COM, NS2.SUSPENDED-DOMIAN.COM
  180. windows-update-server.com,96.126.108.132,NS1.GREEN-MEAN.COM, NS2.GREEN-MEAN.COM
  181. xylocomod.com,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  182. alotibi.xylocomod.com,96.126.108.132,
  183. arta.romail3arnest.info,96.126.108.132,
  184. bxrd.sendsmtp.com,96.126.108.132,
  185. cirimpapacirimpapa-fghbvsfdbfdbfd875t67rfv7dsgyvsu.com,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  186. clickfremont.org,96.126.108.132,
  187. dentbeen.eu,96.126.108.132,
  188. findcurly.org,96.126.108.132,
  189. findrasup.org,96.126.108.132,
  190. findwandering.org,96.126.108.132,
  191. hostmaster.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,
  192. iwillhavesexygirls.com,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  193. li365-132.members.linode.com,96.126.108.132,
  194. love.swastikano.net,96.126.108.132,
  195. maillist.iwillhavesexygirls.com,96.126.108.132,
  196. manageha.2waky.com,96.126.108.132,
  197. n98usfhcyughdcsbchjb.com,,NS1.GREEN-MEAN.COM, NS2.GREEN-MEAN.COM
  198. ns1.clickfremont.org,96.126.108.132,
  199. ns1.searchalaska.org,96.126.108.132,
  200. ns1.searchbrick.org,96.126.108.132,
  201. ns2.clickfremont.org,96.126.108.132,
  202. ns2.findcurly.org,96.126.108.132,
  203. ns2.findrasup.org,96.126.108.132,
  204. ns2.searchalaska.org,96.126.108.132,
  205. ns2.searchalike.org,96.126.108.132,
  206. ns2.searchatmosphere.org,96.126.108.132,
  207. politicalnews.lflinkup.org,96.126.108.132,
  208. pufiluqudic.eu,,
  209. qjisnelmcjtg.com,96.126.108.132,NS1.SUSPENDED-DOMIAN.COM, NS2.SUSPENDED-DOMIAN.COM
  210. redhat.homeunix.com,96.126.108.132,
  211. reslove-dns.com,96.126.108.132,NS1.GREEN-MEAN.COM, NS2.GREEN-MEAN.COM
  212. romail3arnest.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  213. searchalaska.org,96.126.108.132,
  214. searchalike.org,96.126.108.132,
  215. searchalphabet.org,96.126.108.132,
  216. searchatmosphere.org,96.126.108.132,
  217. searchbrick.org,96.126.108.132,
  218. servf.zyns.com,96.126.108.132,
  219. spotrate.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  220. swastikano.net,96.126.108.132,NS1.SUSPENDED-DOMIAN.COM, NS2.SUSPENDED-DOMIAN.COM
  221. tep.xylocomod.com,96.126.108.132,
  222. update.longmusic.com,96.126.108.132,
  223. vfdykmselcv.com,96.126.108.132,NS1.SUSPENDED-DOMIAN.COM, NS2.SUSPENDED-DOMIAN.COM
  224. wesaf341.org,96.126.108.132,
  225. windows-update-server.com,96.126.108.132,NS1.GREEN-MEAN.COM, NS2.GREEN-MEAN.COM
  226. woskagz.dyndns.org,96.126.108.132,
  227. wsef32asd1.org,96.126.108.132,
  228. www.bxrd.sendsmtp.com,96.126.108.132,
  229. www.reslove-dns.com,96.126.108.132,
  230. www.searchalaska.org,96.126.108.132,
  231. www.windows-update-server.com,96.126.108.132,
  232. xylocomod.com,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  233. zeqsmmiwj3d.com,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  234. 0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  235. 0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  236. 0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  237. 0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,NS1.BASKINGSHARK.NET, NS2.BASKINGSHARK.NET
  238. 0-0-0-0-1-0-0-1-1-0-0-0-1-0-0-1-0-1-1-0-0-1-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-7-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,
  239. 0-0-0-1-0-1-1-1-1-1-0-1-0-1-1-1-1-0-0-0-0-0-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,
  240. 0-0-1-0-1-1-1-0-0-1-1-1-1-1-0-1-1-1-0-1-1-0-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,
  241. 0-1-0-0-0-0-0-1-1-0-0-1-0-0-0-0-1-0-1-0-1-0-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,
  242. 0-1-0-0-0-0-0-1-1-0-0-1-0-0-0-0-1-0-1-0-1-0-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-28-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,
  243. 0-1-0-0-0-0-0-1-1-0-0-1-0-0-0-0-1-0-1-0-1-0-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-38-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,
  244. 9-1-3-5-1-4-3-1-1-0-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.info,96.126.108.132,
  245.  
  246.  
  247. // ISP responsible: LINODE
  248.  
  249. NetRange:       96.126.96.0 - 96.126.127.255
  250. CIDR:           96.126.96.0/19
  251. OriginAS:
  252. NetName:        LINODE-US
  253. NetHandle:      NET-96-126-96-0-1
  254. Parent:         NET-96-0-0-0-0
  255. NetType:        Direct Allocation
  256. Comment:        This block is used for static customer allocations.
  257. RegDate:        2011-05-06
  258. Updated:        2012-02-24
  259. Ref:            http://whois.arin.net/rest/net/NET-96-126-96-0-1
  260.  
  261. OrgName:        Linode
  262. OrgId:          LINOD
  263. Address:        329 E. Jimmie Leeds Road
  264. Address:        Suite A
  265. City:           Galloway
  266. StateProv:      NJ
  267. PostalCode:     08205
  268. Country:        US
  269. RegDate:        2008-04-24
  270. Updated:        2010-08-31
  271. Comment:        http://www.linode.com
  272. Ref:            http://whois.arin.net/rest/org/LINOD
  273.  
  274.  
  275. // And.. what's the LINODE will have to say about this?
  276. // As follow ups, our report was being denied by LINODE, as per below -
  277. // original email replied by their person in charge:
  278.  
  279. -------snip---original-email------
  280.  
  281. From: Danny Ariti
  282. Date: 1 May 2013 02:26
  283. Subject: Re: 96.126.108.132
  284. To: xxxx
  285.  
  286.  
  287. Hello xxx,
  288.  
  289. Thank you for the report. We've been working with this customer for some time and can assure you that nothing malicious is originating from the Linode in question. The customer is part of a "good guy network" and is not partaking in any nefarious activities, but is rather part of a security research firm which specialises in protecting users from online threats.
  290.  
  291. Keeping our network clean is paramount to us, so you can rest assured that these reports are closely monitored.
  292.  
  293. Let us know if we can be of any additional assistance.
  294.  
  295. Best Regards,
  296. Danny Ariti
  297. Linode, LLC
  298.  
  299. On 01/05/2013, at 6:07 AM, Jonathan Curry wrote:
  300.  
  301. > Hello,
  302. >
  303. > Thank you for making us aware of this issue. We have opened a ticket with the customer in question.
  304. >
  305. > If there is anything else we can do for you, please let us know.
  306. >
  307. > Regards,
  308. >
  309. > Jonathan Curry
  310. > Linode, LLC
  311. > +1 855-4-LINODE
  312. 1 May 2013 15:23  
  313.  
  314. // In plain english the PIC tried to explain SINKHOLE.
  315.  
  316. ---
  317. #malwaremustdie
RAW Paste Data
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy. OK, I Understand
Top