API tools faq
paste
Advertisement
MalwareMustDie

#MalwareMustDie- #Kelihos .RU domains Status Today

MalwareMustDie
Aug 5th, 2013
1,483
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 12.80 KB | None | 0 0
raw download clone embed print report
  1. #Kelihos DGA in .RU Domains
  2. Update report, Aug 5th 19:09 - JST.
  3.  
  4. // Current Up & Alive status: ALL ALIVE now!!
  5. // Check started...
  6.  
  7. /malware/checkdomains]$ date
  8. Mon Aug 4 15:22:12 JST 2013
  9.  
  10. ABJIQFIR.RU, 89.173.200.2, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  11. ACXYPZUK.RU, 178.159.23.63, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  12. AFEBIRYN.RU, 111.242.66.82, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  13. ANGENJEJ.RU, 46.211.10.242, WHOIS timeout..
  14. BADMYVOK.RU, 114.24.176.12, WHOIS timeout..
  15. BEZGESUK.RU, 88.135.85.112, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  16. BITITROJ.RU, 91.109.18.158, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  17. BOVEWHAV.RU, 46.148.61.108, WHOIS timeout..
  18. BOWRETTI.RU, 109.229.180.179, WHOIS timeout..
  19. CICDIWYH.RU, 159.224.175.248, WHOIS timeout..
  20. COLYDQEC.RU, 5.248.49.14, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  21. CYVWYDJE.RU, 160.75.9.240, WHOIS timeout..
  22. DAHADKYZ.RU, 92.245.67.140, WHOIS timeout..
  23. DEPCOPUQ.RU, 91.203.15.84, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  24. DEQYPPIL.RU, 82.232.236.106, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  25. DIICUHXA.RU, 109.201.103.60, WHOIS timeout..
  26. EJOPOWOZ.RU, 109.191.7.248, WHOIS timeout..
  27. EJQIURMY.RU, 5.1.21.20, WHOIS timeout..
  28. FITUZVOF.RU, 77.234.65.10, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  29. FOJEGGUF.RU, 217.196.169.88, WHOIS timeout..
  30. GAJKUKUC.RU, 27.6.9.213, WHOIS timeout..
  31. GECAKCEM.RU, 89.215.104.198, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  32. GYCBOKUD.RU, 159.224.175.248, WHOIS timeout..
  33. HURVINEV.RU, 178.137.238.192, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  34. HUZNEJEX.RU, 109.87.203.44, WHOIS timeout..
  35. HYNEQREL.RU, 91.203.15.84, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  36. IMKYHTUG.RU, 85.232.148.176, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  37. IPXYJYOQ.RU, 195.211.142.179, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  38. ITWILMEP.RU, 5.248.115.225, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  39. IWKYXSEZ.RU, 91.199.93.175, WHOIS timeout..
  40. IXMUTIRI.RU, 62.68.133.0, WHOIS timeout..
  41. JAHKUXYV.RU, 195.211.253.167, WHOIS timeout..
  42. JEFDYWSO.RU, 203.109.66.170, WHOIS timeout..
  43. JIQLIDOX.RU, 77.121.249.29, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  44. JOKLASAN.RU, 27.3.36.143, WHOIS timeout..
  45. KAPKICOH.RU, 5.1.11.84, WHOIS timeout..
  46. KEBWAKQY.RU, 46.229.52.203, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  47. KICSIHOP.RU, 37.229.44.18, WHOIS timeout..
  48. KIZCIVZE.RU, 77.122.183.28, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  49. KUBGYBOH.RU, 37.221.128.173, WHOIS timeout..
  50. KYCROTUS.RU, 31.43.131.230, WHOIS timeout..
  51. LICLAJLE.RU, 46.146.11.232, WHOIS timeout..
  52. LIMJOZEH.RU, 115.43.27.228, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  53. LIZECGIJ.RU, 93.79.54.180, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  54. LUFRUDET.RU, 37.115.84.153, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  55. LUPQUXSE.RU, 37.193.10.63, WHOIS timeout..
  56. LYOHGEOF.RU, 185.11.80.10, WHOIS timeout..
  57. MAPUHXAF.RU, 176.8.217.104, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  58. MOHGOXEB.RU, 58.114.190.158, WHOIS timeout..
  59. MYBFABWI.RU, 109.185.187.66, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  60. NECUWFEW.RU, 85.234.38.147, WHOIS timeout..
  61. NENKUDYF.RU, 195.58.254.224, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  62. NICLYCOM.RU, 94.45.98.116, WHOIS timeout..
  63. NOJQAVYJ.RU, 89.37.168.20, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  64. NORWOLLU.RU, 82.232.236.106, WHOIS timeout..
  65. NUKUNNOQ.RU, 5.105.58.234, WHOIS timeout..
  66. ONSUGNEM.RU, 109.162.118.149, WHOIS timeout..
  67. ORNEVKYC.RU, 79.165.78.58, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  68. PEXDAJYP.RU, 5.13.119.86, WHOIS timeout..
  69. PIVGEVIT.RU, 62.117.37.110, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  70. PIYMNYFA.RU, 46.241.53.115, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  71. POWERWIK.RU, 95.87.6.153, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  72. PUPUXHEF.RU, 183.82.157.142, WHOIS timeout..
  73. PYDAJZYK.RU, 31.192.27.174, WHOIS timeout..
  74. QABADPIX.RU, 114.27.123.243, WHOIS timeout..
  75. QOFHIRAW.RU, 36.238.183.208, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  76. QYSQUWKO.RU, 203.222.26.2, WHOIS timeout..
  77. RIFAUTIR.RU, 77.234.65.10, WHOIS timeout..
  78. RIZIKCUG.RU, 213.216.33.98, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  79. ROVSYMWO.RU, 178.141.148.71, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  80. RYTEOPBY.RU, 84.237.232.14, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  81. SAWSOBCY.RU, 118.163.194.66, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  82. SOMOXBET.RU, 109.87.247.249, WHOIS timeout..
  83. TAFIBCUM.RU, 37.25.35.215, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  84. TAZGYVAX.RU, 58.5.38.243, WHOIS timeout..
  85. TITGOQTE.RU, 124.9.198.130, WHOIS timeout..
  86. TYZFOWFE.RU, 31.43.131.230, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  87. UWPAYTNU.RU, 88.135.87.104, WHOIS timeout..
  88. VEFLOHGY.RU, 159.224.201.184, WHOIS timeout..
  89. VEKDEGYL.RU, 37.229.119.195, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  90. VUZNIQIK.RU, 89.102.193.66, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  91. VYFUXTIS.RU, 85.64.111.150, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  92. WANZAWBY.RU, 212.8.43.38, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  93. WODYFWOD.RU, 213.174.10.118, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  94. WORLIPXO.RU, 42.3.82.50, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  95. XAKRYXOG.RU, 1.162.76.24, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  96. XIMIRSEX.RU, 130.204.97.10, WHOIS timeout..
  97. XIMXAMLI.RU, 151.0.37.70, WHOIS timeout..
  98. XUGNEMYQ.RU, 109.87.185.154, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  99. YFKYTXIX.RU, 176.8.26.135, WHOIS timeout..
  100. YFXIGUSO.RU, 92.115.59.70, WHOIS timeout..
  101. YGXEYVXI.RU, 109.106.20.232, WHOIS timeout..
  102. YJSEYGFY.RU, 58.114.194.27, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  103. YWHYIWDY.RU, 77.122.99.200, WHOIS timeout..
  104. ZADNAZVO.RU, 109.207.124.50, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  105. ZUNCUHAK.RU, 31.134.44.33, WHOIS timeout..
  106. ZUVNENAX.RU, 91.202.146.139, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  107. ZUZVAQAW.RU, 85.254.19.148, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  108. ZYHIJWIN.RU, 77.35.151.30, WHOIS timeout..
  109. ZYRTYDAJ.RU, 212.8.43.38, WHOIS timeout..
  110.  
  111. // End of check..
  112.  
  113. /malware/checkdomains]$ date
  114. Mon Aug 5 17:38:08 JST 2013
  115.  
  116. And currently under the HFLUX of Kelihos, meaning, the A records that keep on rotating in each time requested (round robins pointing the IP address of the kelihos Botnet7s host), it served the Kelihos malware download by adding the /rasta01.exe in the end of the domains or IP address, as follows:
  117.  
  118. [0x00000000]> !date
  119. Mon Aug 5 17:43:33 JST 2013
  120. [0x00000000]> chkurl
  121. Checking HTTP://JAHKUXYV.RU/RASTA01.EXE ... OK
  122. Checking HTTP://ANGENJEJ.RU/RASTA01.EXE ... OK
  123. Checking HTTP://VYFUXTIS.RU/RASTA01.EXE ... OK
  124. Checking HTTP://DEQYPPIL.RU/RASTA01.EXE ... DOWN
  125. Checking HTTP://KIZCIVZE.RU/RASTA01.EXE ... OK
  126. Checking HTTP://POWERWIK.RU/RASTA01.EXE ... DOWN
  127. Checking HTTP://GYCBOKUD.RU/RASTA01.EXE ... OK
  128. Checking HTTP://HYNEQREL.RU/RASTA01.EXE ... OK
  129. Checking HTTP://DAHADKYZ.RU/RASTA01.EXE ... OK
  130. Checking HTTP://XUGNEMYQ.RU/RASTA01.EXE ... OK
  131. Checking HTTP://YGXEYVXI.RU/RASTA01.EXE ... OK
  132. Checking HTTP://LUFRUDET.RU/RASTA01.EXE ... OK
  133. Checking HTTP://PUPUXHEF.RU/RASTA01.EXE ... OK
  134. Checking HTTP://DEPCOPUQ.RU/RASTA01.EXE ... OK
  135. Checking HTTP://KEBWAKQY.RU/RASTA01.EXE ... OK
  136. Checking HTTP://AFEBIRYN.RU/RASTA01.EXE ... OK
  137. Checking HTTP://LYOHGEOF.RU/RASTA01.EXE ... OK
  138. Checking HTTP://TAFIBCUM.RU/RASTA01.EXE ... DOWN
  139. Checking HTTP://IMKYHTUG.RU/RASTA01.EXE ... OK
  140. Checking HTTP://GECAKCEM.RU/RASTA01.EXE ... OK
  141. Checking HTTP://RIFAUTIR.RU/RASTA01.EXE ... OK
  142. Checking HTTP://MAPUHXAF.RU/RASTA01.EXE ... OK
  143. Checking HTTP://XIMXAMLI.RU/RASTA01.EXE ... OK
  144. Checking HTTP://VEKDEGYL.RU/RASTA01.EXE ... OK
  145. Checking HTTP://KUBGYBOH.RU/RASTA01.EXE ... OK
  146. Checking HTTP://PIYMNYFA.RU/RASTA01.EXE ... OK
  147. Checking HTTP://TITGOQTE.RU/RASTA01.EXE ... DOWN
  148. Checking HTTP://LIZECGIJ.RU/RASTA01.EXE ... OK
  149. Checking HTTP://BADMYVOK.RU/RASTA01.EXE ... OK
  150. Checking HTTP://LUPQUXSE.RU/RASTA01.EXE ... OK
  151. Checking HTTP://HURVINEV.RU/RASTA01.EXE ...^CAborted
  152.  
  153. Mon Aug 5 17:58:37 JST 2013
  154. [0x00000000]> chkurl
  155. Checking HTTP://JAHKUXYV.RU/RASTA01.EXE ... OK
  156. Checking HTTP://ANGENJEJ.RU/RASTA01.EXE ... OK
  157. Checking HTTP://VYFUXTIS.RU/RASTA01.EXE ... OK
  158. Checking HTTP://DEQYPPIL.RU/RASTA01.EXE ... OK
  159. Checking HTTP://KIZCIVZE.RU/RASTA01.EXE ... OK
  160. Checking HTTP://POWERWIK.RU/RASTA01.EXE ... OK
  161. Checking HTTP://GYCBOKUD.RU/RASTA01.EXE ... OK
  162. Checking HTTP://HYNEQREL.RU/RASTA01.EXE ... OK
  163. Checking HTTP://DAHADKYZ.RU/RASTA01.EXE ... OK
  164. Checking HTTP://XUGNEMYQ.RU/RASTA01.EXE ... OK
  165. Checking HTTP://YGXEYVXI.RU/RASTA01.EXE ... OK
  166. Checking HTTP://LUFRUDET.RU/RASTA01.EXE ... OK
  167. Checking HTTP://PUPUXHEF.RU/RASTA01.EXE ... OK
  168. Checking HTTP://DEPCOPUQ.RU/RASTA01.EXE ... OK
  169. Checking HTTP://KEBWAKQY.RU/RASTA01.EXE ... OK
  170. Checking HTTP://AFEBIRYN.RU/RASTA01.EXE ... OK
  171. Checking HTTP://LYOHGEOF.RU/RASTA01.EXE ... OK
  172. Checking HTTP://TAFIBCUM.RU/RASTA01.EXE ... OK
  173. Checking HTTP://IMKYHTUG.RU/RASTA01.EXE ... OK
  174. Checking HTTP://GECAKCEM.RU/RASTA01.EXE ... ^CAborted
  175.  
  176. [0x00000000]> !date
  177. Mon Aug 5 18:00:36 JST 2013
  178. [0x00000000]> chkurl
  179. Checking HTTP://JAHKUXYV.RU/RASTA01.EXE ... OK
  180. Checking HTTP://ANGENJEJ.RU/RASTA01.EXE ... OK
  181. Checking HTTP://VYFUXTIS.RU/RASTA01.EXE ... OK
  182. Checking HTTP://DEQYPPIL.RU/RASTA01.EXE ... OK
  183. Checking HTTP://KIZCIVZE.RU/RASTA01.EXE ... OK
  184. Checking HTTP://POWERWIK.RU/RASTA01.EXE ... OK
  185. Checking HTTP://GYCBOKUD.RU/RASTA01.EXE ... DOWN
  186. Checking HTTP://HYNEQREL.RU/RASTA01.EXE ... OK
  187. Checking HTTP://DAHADKYZ.RU/RASTA01.EXE ... OK
  188. Checking HTTP://XUGNEMYQ.RU/RASTA01.EXE ... OK
  189. Checking HTTP://YGXEYVXI.RU/RASTA01.EXE ... OK
  190. Checking HTTP://LUFRUDET.RU/RASTA01.EXE ... OK
  191. Checking HTTP://PUPUXHEF.RU/RASTA01.EXE ... DOWN
  192. Checking HTTP://DEPCOPUQ.RU/RASTA01.EXE ... OK
  193. Checking HTTP://KEBWAKQY.RU/RASTA01.EXE ... OK
  194. Checking HTTP://AFEBIRYN.RU/RASTA01.EXE ... OK
  195. Checking HTTP://LYOHGEOF.RU/RASTA01.EXE ... OK
  196. Checking HTTP://TAFIBCUM.RU/RASTA01.EXE ... OK
  197. Checking HTTP://IMKYHTUG.RU/RASTA01.EXE ... ^CAborted
  198.  
  199. // ↑As you may see the response is changing each time:
  200. // These domains are registered under REGGI.RU information:
  201.  
  202. nserver: ns1.karozgi.com.
  203. nserver: ns2.karozgi.com.
  204. nserver: ns3.karozgi.com.
  205. nserver: ns4.karozgi.com.
  206. nserver: ns5.karozgi.com.
  207. nserver: ns6.karozgi.com.
  208. state: REGISTERED, DELEGATED, UNVERIFIED
  209. person: Private Person
  210. registrar: REGGI-REG-RIPN
  211.  
  212. ---
  213. #MalwareMustDie!
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!