Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- #Kelihos DGA in .RU Domains
- Update report, Aug 5th 19:09 - JST.
- // Current Up & Alive status: ALL ALIVE now!!
- // Check started...
- /malware/checkdomains]$ date
- Mon Aug 4 15:22:12 JST 2013
- ABJIQFIR.RU, 89.173.200.2, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- ACXYPZUK.RU, 178.159.23.63, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- AFEBIRYN.RU, 111.242.66.82, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- ANGENJEJ.RU, 46.211.10.242, WHOIS timeout..
- BADMYVOK.RU, 114.24.176.12, WHOIS timeout..
- BEZGESUK.RU, 88.135.85.112, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- BITITROJ.RU, 91.109.18.158, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- BOVEWHAV.RU, 46.148.61.108, WHOIS timeout..
- BOWRETTI.RU, 109.229.180.179, WHOIS timeout..
- CICDIWYH.RU, 159.224.175.248, WHOIS timeout..
- COLYDQEC.RU, 5.248.49.14, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- CYVWYDJE.RU, 160.75.9.240, WHOIS timeout..
- DAHADKYZ.RU, 92.245.67.140, WHOIS timeout..
- DEPCOPUQ.RU, 91.203.15.84, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- DEQYPPIL.RU, 82.232.236.106, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- DIICUHXA.RU, 109.201.103.60, WHOIS timeout..
- EJOPOWOZ.RU, 109.191.7.248, WHOIS timeout..
- EJQIURMY.RU, 5.1.21.20, WHOIS timeout..
- FITUZVOF.RU, 77.234.65.10, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- FOJEGGUF.RU, 217.196.169.88, WHOIS timeout..
- GAJKUKUC.RU, 27.6.9.213, WHOIS timeout..
- GECAKCEM.RU, 89.215.104.198, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- GYCBOKUD.RU, 159.224.175.248, WHOIS timeout..
- HURVINEV.RU, 178.137.238.192, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- HUZNEJEX.RU, 109.87.203.44, WHOIS timeout..
- HYNEQREL.RU, 91.203.15.84, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- IMKYHTUG.RU, 85.232.148.176, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- IPXYJYOQ.RU, 195.211.142.179, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- ITWILMEP.RU, 5.248.115.225, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- IWKYXSEZ.RU, 91.199.93.175, WHOIS timeout..
- IXMUTIRI.RU, 62.68.133.0, WHOIS timeout..
- JAHKUXYV.RU, 195.211.253.167, WHOIS timeout..
- JEFDYWSO.RU, 203.109.66.170, WHOIS timeout..
- JIQLIDOX.RU, 77.121.249.29, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- JOKLASAN.RU, 27.3.36.143, WHOIS timeout..
- KAPKICOH.RU, 5.1.11.84, WHOIS timeout..
- KEBWAKQY.RU, 46.229.52.203, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- KICSIHOP.RU, 37.229.44.18, WHOIS timeout..
- KIZCIVZE.RU, 77.122.183.28, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- KUBGYBOH.RU, 37.221.128.173, WHOIS timeout..
- KYCROTUS.RU, 31.43.131.230, WHOIS timeout..
- LICLAJLE.RU, 46.146.11.232, WHOIS timeout..
- LIMJOZEH.RU, 115.43.27.228, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- LIZECGIJ.RU, 93.79.54.180, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- LUFRUDET.RU, 37.115.84.153, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- LUPQUXSE.RU, 37.193.10.63, WHOIS timeout..
- LYOHGEOF.RU, 185.11.80.10, WHOIS timeout..
- MAPUHXAF.RU, 176.8.217.104, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- MOHGOXEB.RU, 58.114.190.158, WHOIS timeout..
- MYBFABWI.RU, 109.185.187.66, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- NECUWFEW.RU, 85.234.38.147, WHOIS timeout..
- NENKUDYF.RU, 195.58.254.224, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- NICLYCOM.RU, 94.45.98.116, WHOIS timeout..
- NOJQAVYJ.RU, 89.37.168.20, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- NORWOLLU.RU, 82.232.236.106, WHOIS timeout..
- NUKUNNOQ.RU, 5.105.58.234, WHOIS timeout..
- ONSUGNEM.RU, 109.162.118.149, WHOIS timeout..
- ORNEVKYC.RU, 79.165.78.58, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- PEXDAJYP.RU, 5.13.119.86, WHOIS timeout..
- PIVGEVIT.RU, 62.117.37.110, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- PIYMNYFA.RU, 46.241.53.115, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- POWERWIK.RU, 95.87.6.153, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- PUPUXHEF.RU, 183.82.157.142, WHOIS timeout..
- PYDAJZYK.RU, 31.192.27.174, WHOIS timeout..
- QABADPIX.RU, 114.27.123.243, WHOIS timeout..
- QOFHIRAW.RU, 36.238.183.208, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- QYSQUWKO.RU, 203.222.26.2, WHOIS timeout..
- RIFAUTIR.RU, 77.234.65.10, WHOIS timeout..
- RIZIKCUG.RU, 213.216.33.98, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- ROVSYMWO.RU, 178.141.148.71, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- RYTEOPBY.RU, 84.237.232.14, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- SAWSOBCY.RU, 118.163.194.66, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- SOMOXBET.RU, 109.87.247.249, WHOIS timeout..
- TAFIBCUM.RU, 37.25.35.215, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- TAZGYVAX.RU, 58.5.38.243, WHOIS timeout..
- TITGOQTE.RU, 124.9.198.130, WHOIS timeout..
- TYZFOWFE.RU, 31.43.131.230, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- UWPAYTNU.RU, 88.135.87.104, WHOIS timeout..
- VEFLOHGY.RU, 159.224.201.184, WHOIS timeout..
- VEKDEGYL.RU, 37.229.119.195, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- VUZNIQIK.RU, 89.102.193.66, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- VYFUXTIS.RU, 85.64.111.150, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- WANZAWBY.RU, 212.8.43.38, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- WODYFWOD.RU, 213.174.10.118, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- WORLIPXO.RU, 42.3.82.50, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- XAKRYXOG.RU, 1.162.76.24, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- XIMIRSEX.RU, 130.204.97.10, WHOIS timeout..
- XIMXAMLI.RU, 151.0.37.70, WHOIS timeout..
- XUGNEMYQ.RU, 109.87.185.154, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- YFKYTXIX.RU, 176.8.26.135, WHOIS timeout..
- YFXIGUSO.RU, 92.115.59.70, WHOIS timeout..
- YGXEYVXI.RU, 109.106.20.232, WHOIS timeout..
- YJSEYGFY.RU, 58.114.194.27, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- YWHYIWDY.RU, 77.122.99.200, WHOIS timeout..
- ZADNAZVO.RU, 109.207.124.50, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- ZUNCUHAK.RU, 31.134.44.33, WHOIS timeout..
- ZUVNENAX.RU, 91.202.146.139, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- ZUZVAQAW.RU, 85.254.19.148, ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
- ZYHIJWIN.RU, 77.35.151.30, WHOIS timeout..
- ZYRTYDAJ.RU, 212.8.43.38, WHOIS timeout..
- // End of check..
- /malware/checkdomains]$ date
- Mon Aug 5 17:38:08 JST 2013
- And currently under the HFLUX of Kelihos, meaning, the A records that keep on rotating in each time requested (round robins pointing the IP address of the kelihos Botnet7s host), it served the Kelihos malware download by adding the /rasta01.exe in the end of the domains or IP address, as follows:
- [0x00000000]> !date
- Mon Aug 5 17:43:33 JST 2013
- [0x00000000]> chkurl
- Checking HTTP://JAHKUXYV.RU/RASTA01.EXE ... OK
- Checking HTTP://ANGENJEJ.RU/RASTA01.EXE ... OK
- Checking HTTP://VYFUXTIS.RU/RASTA01.EXE ... OK
- Checking HTTP://DEQYPPIL.RU/RASTA01.EXE ... DOWN
- Checking HTTP://KIZCIVZE.RU/RASTA01.EXE ... OK
- Checking HTTP://POWERWIK.RU/RASTA01.EXE ... DOWN
- Checking HTTP://GYCBOKUD.RU/RASTA01.EXE ... OK
- Checking HTTP://HYNEQREL.RU/RASTA01.EXE ... OK
- Checking HTTP://DAHADKYZ.RU/RASTA01.EXE ... OK
- Checking HTTP://XUGNEMYQ.RU/RASTA01.EXE ... OK
- Checking HTTP://YGXEYVXI.RU/RASTA01.EXE ... OK
- Checking HTTP://LUFRUDET.RU/RASTA01.EXE ... OK
- Checking HTTP://PUPUXHEF.RU/RASTA01.EXE ... OK
- Checking HTTP://DEPCOPUQ.RU/RASTA01.EXE ... OK
- Checking HTTP://KEBWAKQY.RU/RASTA01.EXE ... OK
- Checking HTTP://AFEBIRYN.RU/RASTA01.EXE ... OK
- Checking HTTP://LYOHGEOF.RU/RASTA01.EXE ... OK
- Checking HTTP://TAFIBCUM.RU/RASTA01.EXE ... DOWN
- Checking HTTP://IMKYHTUG.RU/RASTA01.EXE ... OK
- Checking HTTP://GECAKCEM.RU/RASTA01.EXE ... OK
- Checking HTTP://RIFAUTIR.RU/RASTA01.EXE ... OK
- Checking HTTP://MAPUHXAF.RU/RASTA01.EXE ... OK
- Checking HTTP://XIMXAMLI.RU/RASTA01.EXE ... OK
- Checking HTTP://VEKDEGYL.RU/RASTA01.EXE ... OK
- Checking HTTP://KUBGYBOH.RU/RASTA01.EXE ... OK
- Checking HTTP://PIYMNYFA.RU/RASTA01.EXE ... OK
- Checking HTTP://TITGOQTE.RU/RASTA01.EXE ... DOWN
- Checking HTTP://LIZECGIJ.RU/RASTA01.EXE ... OK
- Checking HTTP://BADMYVOK.RU/RASTA01.EXE ... OK
- Checking HTTP://LUPQUXSE.RU/RASTA01.EXE ... OK
- Checking HTTP://HURVINEV.RU/RASTA01.EXE ...^CAborted
- Mon Aug 5 17:58:37 JST 2013
- [0x00000000]> chkurl
- Checking HTTP://JAHKUXYV.RU/RASTA01.EXE ... OK
- Checking HTTP://ANGENJEJ.RU/RASTA01.EXE ... OK
- Checking HTTP://VYFUXTIS.RU/RASTA01.EXE ... OK
- Checking HTTP://DEQYPPIL.RU/RASTA01.EXE ... OK
- Checking HTTP://KIZCIVZE.RU/RASTA01.EXE ... OK
- Checking HTTP://POWERWIK.RU/RASTA01.EXE ... OK
- Checking HTTP://GYCBOKUD.RU/RASTA01.EXE ... OK
- Checking HTTP://HYNEQREL.RU/RASTA01.EXE ... OK
- Checking HTTP://DAHADKYZ.RU/RASTA01.EXE ... OK
- Checking HTTP://XUGNEMYQ.RU/RASTA01.EXE ... OK
- Checking HTTP://YGXEYVXI.RU/RASTA01.EXE ... OK
- Checking HTTP://LUFRUDET.RU/RASTA01.EXE ... OK
- Checking HTTP://PUPUXHEF.RU/RASTA01.EXE ... OK
- Checking HTTP://DEPCOPUQ.RU/RASTA01.EXE ... OK
- Checking HTTP://KEBWAKQY.RU/RASTA01.EXE ... OK
- Checking HTTP://AFEBIRYN.RU/RASTA01.EXE ... OK
- Checking HTTP://LYOHGEOF.RU/RASTA01.EXE ... OK
- Checking HTTP://TAFIBCUM.RU/RASTA01.EXE ... OK
- Checking HTTP://IMKYHTUG.RU/RASTA01.EXE ... OK
- Checking HTTP://GECAKCEM.RU/RASTA01.EXE ... ^CAborted
- [0x00000000]> !date
- Mon Aug 5 18:00:36 JST 2013
- [0x00000000]> chkurl
- Checking HTTP://JAHKUXYV.RU/RASTA01.EXE ... OK
- Checking HTTP://ANGENJEJ.RU/RASTA01.EXE ... OK
- Checking HTTP://VYFUXTIS.RU/RASTA01.EXE ... OK
- Checking HTTP://DEQYPPIL.RU/RASTA01.EXE ... OK
- Checking HTTP://KIZCIVZE.RU/RASTA01.EXE ... OK
- Checking HTTP://POWERWIK.RU/RASTA01.EXE ... OK
- Checking HTTP://GYCBOKUD.RU/RASTA01.EXE ... DOWN
- Checking HTTP://HYNEQREL.RU/RASTA01.EXE ... OK
- Checking HTTP://DAHADKYZ.RU/RASTA01.EXE ... OK
- Checking HTTP://XUGNEMYQ.RU/RASTA01.EXE ... OK
- Checking HTTP://YGXEYVXI.RU/RASTA01.EXE ... OK
- Checking HTTP://LUFRUDET.RU/RASTA01.EXE ... OK
- Checking HTTP://PUPUXHEF.RU/RASTA01.EXE ... DOWN
- Checking HTTP://DEPCOPUQ.RU/RASTA01.EXE ... OK
- Checking HTTP://KEBWAKQY.RU/RASTA01.EXE ... OK
- Checking HTTP://AFEBIRYN.RU/RASTA01.EXE ... OK
- Checking HTTP://LYOHGEOF.RU/RASTA01.EXE ... OK
- Checking HTTP://TAFIBCUM.RU/RASTA01.EXE ... OK
- Checking HTTP://IMKYHTUG.RU/RASTA01.EXE ... ^CAborted
- // ↑As you may see the response is changing each time:
- // These domains are registered under REGGI.RU information:
- nserver: ns1.karozgi.com.
- nserver: ns2.karozgi.com.
- nserver: ns3.karozgi.com.
- nserver: ns4.karozgi.com.
- nserver: ns5.karozgi.com.
- nserver: ns6.karozgi.com.
- state: REGISTERED, DELEGATED, UNVERIFIED
- person: Private Person
- registrar: REGGI-REG-RIPN
- ---
- #MalwareMustDie!
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement