Need a unique gift idea?
A Pastebin account makes a great Christmas gift
SHARE
TWEET

#MalwareMustDie- #Kelihos .RU domains Status Today

MalwareMustDie Aug 5th, 2013 174 Never
Upgrade to PRO!
ENDING IN00days00hours00mins00secs
 
  1. #Kelihos DGA in .RU Domains
  2. Update report, Aug 5th 19:09 - JST.
  3.  
  4. // Current Up & Alive status: ALL ALIVE now!!
  5. // Check started...
  6.  
  7. /malware/checkdomains]$ date
  8. Mon Aug  4 15:22:12 JST 2013
  9.  
  10. ABJIQFIR.RU,  89.173.200.2,     ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.               
  11. ACXYPZUK.RU,  178.159.23.63,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  12. AFEBIRYN.RU,  111.242.66.82,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  13. ANGENJEJ.RU,  46.211.10.242,    WHOIS timeout..
  14. BADMYVOK.RU,  114.24.176.12,    WHOIS timeout..
  15. BEZGESUK.RU,  88.135.85.112,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  16. BITITROJ.RU,  91.109.18.158,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  17. BOVEWHAV.RU,  46.148.61.108,    WHOIS timeout..
  18. BOWRETTI.RU,  109.229.180.179,  WHOIS timeout..
  19. CICDIWYH.RU,  159.224.175.248,  WHOIS timeout..
  20. COLYDQEC.RU,  5.248.49.14,      ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  21. CYVWYDJE.RU,  160.75.9.240,     WHOIS timeout..
  22. DAHADKYZ.RU,  92.245.67.140,    WHOIS timeout..
  23. DEPCOPUQ.RU,  91.203.15.84,     ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  24. DEQYPPIL.RU,  82.232.236.106,   ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  25. DIICUHXA.RU,  109.201.103.60,   WHOIS timeout..
  26. EJOPOWOZ.RU,  109.191.7.248,    WHOIS timeout..
  27. EJQIURMY.RU,  5.1.21.20,        WHOIS timeout..
  28. FITUZVOF.RU,  77.234.65.10,     ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  29. FOJEGGUF.RU,  217.196.169.88,   WHOIS timeout..
  30. GAJKUKUC.RU,  27.6.9.213,       WHOIS timeout..
  31. GECAKCEM.RU,  89.215.104.198,   ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  32. GYCBOKUD.RU,  159.224.175.248,  WHOIS timeout..
  33. HURVINEV.RU,  178.137.238.192,  ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  34. HUZNEJEX.RU,  109.87.203.44,    WHOIS timeout..
  35. HYNEQREL.RU,  91.203.15.84,     ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  36. IMKYHTUG.RU,  85.232.148.176,   ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  37. IPXYJYOQ.RU,  195.211.142.179,  ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  38. ITWILMEP.RU,  5.248.115.225,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  39. IWKYXSEZ.RU,  91.199.93.175,    WHOIS timeout..
  40. IXMUTIRI.RU,  62.68.133.0,      WHOIS timeout..
  41. JAHKUXYV.RU,  195.211.253.167,  WHOIS timeout..
  42. JEFDYWSO.RU,  203.109.66.170,   WHOIS timeout..
  43. JIQLIDOX.RU,  77.121.249.29,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  44. JOKLASAN.RU,  27.3.36.143,      WHOIS timeout..
  45. KAPKICOH.RU,  5.1.11.84,        WHOIS timeout..
  46. KEBWAKQY.RU,  46.229.52.203,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  47. KICSIHOP.RU,  37.229.44.18,     WHOIS timeout..
  48. KIZCIVZE.RU,  77.122.183.28,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  49. KUBGYBOH.RU,  37.221.128.173,   WHOIS timeout..
  50. KYCROTUS.RU,  31.43.131.230,    WHOIS timeout..
  51. LICLAJLE.RU,  46.146.11.232,    WHOIS timeout..
  52. LIMJOZEH.RU,  115.43.27.228,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  53. LIZECGIJ.RU,  93.79.54.180,     ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  54. LUFRUDET.RU,  37.115.84.153,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  55. LUPQUXSE.RU,  37.193.10.63,     WHOIS timeout..
  56. LYOHGEOF.RU,  185.11.80.10,     WHOIS timeout..
  57. MAPUHXAF.RU,  176.8.217.104,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  58. MOHGOXEB.RU,  58.114.190.158,   WHOIS timeout..
  59. MYBFABWI.RU,  109.185.187.66,   ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  60. NECUWFEW.RU,  85.234.38.147,    WHOIS timeout..
  61. NENKUDYF.RU,  195.58.254.224,   ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  62. NICLYCOM.RU,  94.45.98.116,     WHOIS timeout..
  63. NOJQAVYJ.RU,  89.37.168.20,     ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  64. NORWOLLU.RU,  82.232.236.106,   WHOIS timeout..
  65. NUKUNNOQ.RU,  5.105.58.234,     WHOIS timeout..
  66. ONSUGNEM.RU,  109.162.118.149,  WHOIS timeout..
  67. ORNEVKYC.RU,  79.165.78.58,     ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  68. PEXDAJYP.RU,  5.13.119.86,      WHOIS timeout..
  69. PIVGEVIT.RU,  62.117.37.110,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  70. PIYMNYFA.RU,  46.241.53.115,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  71. POWERWIK.RU,  95.87.6.153,      ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  72. PUPUXHEF.RU,  183.82.157.142,   WHOIS timeout..
  73. PYDAJZYK.RU,  31.192.27.174,    WHOIS timeout..
  74. QABADPIX.RU,  114.27.123.243,   WHOIS timeout..
  75. QOFHIRAW.RU,  36.238.183.208,   ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  76. QYSQUWKO.RU,  203.222.26.2,     WHOIS timeout..
  77. RIFAUTIR.RU,  77.234.65.10,     WHOIS timeout..
  78. RIZIKCUG.RU,  213.216.33.98,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  79. ROVSYMWO.RU,  178.141.148.71,   ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  80. RYTEOPBY.RU,  84.237.232.14,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  81. SAWSOBCY.RU,  118.163.194.66,   ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  82. SOMOXBET.RU,  109.87.247.249,   WHOIS timeout..
  83. TAFIBCUM.RU,  37.25.35.215,     ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  84. TAZGYVAX.RU,  58.5.38.243,      WHOIS timeout..
  85. TITGOQTE.RU,  124.9.198.130,    WHOIS timeout..
  86. TYZFOWFE.RU,  31.43.131.230,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  87. UWPAYTNU.RU,  88.135.87.104,    WHOIS timeout..
  88. VEFLOHGY.RU,  159.224.201.184,  WHOIS timeout..
  89. VEKDEGYL.RU,  37.229.119.195,   ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  90. VUZNIQIK.RU,  89.102.193.66,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  91. VYFUXTIS.RU,  85.64.111.150,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  92. WANZAWBY.RU,  212.8.43.38,      ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  93. WODYFWOD.RU,  213.174.10.118,   ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  94. WORLIPXO.RU,  42.3.82.50,       ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  95. XAKRYXOG.RU,  1.162.76.24,      ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  96. XIMIRSEX.RU,  130.204.97.10,    WHOIS timeout..
  97. XIMXAMLI.RU,  151.0.37.70,      WHOIS timeout..
  98. XUGNEMYQ.RU,  109.87.185.154,   ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  99. YFKYTXIX.RU,  176.8.26.135,     WHOIS timeout..
  100. YFXIGUSO.RU,  92.115.59.70,     WHOIS timeout..
  101. YGXEYVXI.RU,  109.106.20.232,   WHOIS timeout..
  102. YJSEYGFY.RU,  58.114.194.27,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  103. YWHYIWDY.RU,  77.122.99.200,    WHOIS timeout..
  104. ZADNAZVO.RU,  109.207.124.50,   ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  105. ZUNCUHAK.RU,  31.134.44.33,     WHOIS timeout..
  106. ZUVNENAX.RU,  91.202.146.139,   ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  107. ZUZVAQAW.RU,  85.254.19.148,    ns1.karozgi.com,ns2.karozgi.com,ns3.karozgi.com,ns4.karozgi.com,ns5.karozgi.com,ns6.karozgi.com.
  108. ZYHIJWIN.RU,  77.35.151.30,     WHOIS timeout..
  109. ZYRTYDAJ.RU,  212.8.43.38,      WHOIS timeout..
  110.  
  111. // End of check..
  112.  
  113. /malware/checkdomains]$ date
  114. Mon Aug  5 17:38:08 JST 2013
  115.  
  116. And currently under the HFLUX of Kelihos, meaning, the A records that keep on rotating in each time requested (round robins pointing the IP address of the kelihos Botnet7s host), it served the Kelihos malware download by adding the /rasta01.exe in the end of the domains or IP address, as follows:
  117.  
  118. [0x00000000]> !date
  119. Mon Aug  5 17:43:33 JST 2013
  120. [0x00000000]> chkurl
  121. Checking HTTP://JAHKUXYV.RU/RASTA01.EXE ... OK
  122. Checking HTTP://ANGENJEJ.RU/RASTA01.EXE ... OK
  123. Checking HTTP://VYFUXTIS.RU/RASTA01.EXE ... OK
  124. Checking HTTP://DEQYPPIL.RU/RASTA01.EXE ... DOWN
  125. Checking HTTP://KIZCIVZE.RU/RASTA01.EXE ... OK
  126. Checking HTTP://POWERWIK.RU/RASTA01.EXE ... DOWN
  127. Checking HTTP://GYCBOKUD.RU/RASTA01.EXE ... OK
  128. Checking HTTP://HYNEQREL.RU/RASTA01.EXE ... OK
  129. Checking HTTP://DAHADKYZ.RU/RASTA01.EXE ... OK
  130. Checking HTTP://XUGNEMYQ.RU/RASTA01.EXE ... OK
  131. Checking HTTP://YGXEYVXI.RU/RASTA01.EXE ... OK
  132. Checking HTTP://LUFRUDET.RU/RASTA01.EXE ... OK
  133. Checking HTTP://PUPUXHEF.RU/RASTA01.EXE ... OK
  134. Checking HTTP://DEPCOPUQ.RU/RASTA01.EXE ... OK
  135. Checking HTTP://KEBWAKQY.RU/RASTA01.EXE ... OK
  136. Checking HTTP://AFEBIRYN.RU/RASTA01.EXE ... OK
  137. Checking HTTP://LYOHGEOF.RU/RASTA01.EXE ... OK
  138. Checking HTTP://TAFIBCUM.RU/RASTA01.EXE ... DOWN
  139. Checking HTTP://IMKYHTUG.RU/RASTA01.EXE ... OK
  140. Checking HTTP://GECAKCEM.RU/RASTA01.EXE ... OK
  141. Checking HTTP://RIFAUTIR.RU/RASTA01.EXE ... OK
  142. Checking HTTP://MAPUHXAF.RU/RASTA01.EXE ... OK
  143. Checking HTTP://XIMXAMLI.RU/RASTA01.EXE ... OK
  144. Checking HTTP://VEKDEGYL.RU/RASTA01.EXE ... OK
  145. Checking HTTP://KUBGYBOH.RU/RASTA01.EXE ... OK
  146. Checking HTTP://PIYMNYFA.RU/RASTA01.EXE ... OK
  147. Checking HTTP://TITGOQTE.RU/RASTA01.EXE ... DOWN
  148. Checking HTTP://LIZECGIJ.RU/RASTA01.EXE ... OK
  149. Checking HTTP://BADMYVOK.RU/RASTA01.EXE ... OK
  150. Checking HTTP://LUPQUXSE.RU/RASTA01.EXE ... OK
  151. Checking HTTP://HURVINEV.RU/RASTA01.EXE ...^CAborted
  152.  
  153. Mon Aug  5 17:58:37 JST 2013
  154. [0x00000000]> chkurl
  155. Checking HTTP://JAHKUXYV.RU/RASTA01.EXE ... OK
  156. Checking HTTP://ANGENJEJ.RU/RASTA01.EXE ... OK
  157. Checking HTTP://VYFUXTIS.RU/RASTA01.EXE ... OK
  158. Checking HTTP://DEQYPPIL.RU/RASTA01.EXE ... OK
  159. Checking HTTP://KIZCIVZE.RU/RASTA01.EXE ... OK
  160. Checking HTTP://POWERWIK.RU/RASTA01.EXE ... OK
  161. Checking HTTP://GYCBOKUD.RU/RASTA01.EXE ... OK
  162. Checking HTTP://HYNEQREL.RU/RASTA01.EXE ... OK
  163. Checking HTTP://DAHADKYZ.RU/RASTA01.EXE ... OK
  164. Checking HTTP://XUGNEMYQ.RU/RASTA01.EXE ... OK
  165. Checking HTTP://YGXEYVXI.RU/RASTA01.EXE ... OK
  166. Checking HTTP://LUFRUDET.RU/RASTA01.EXE ... OK
  167. Checking HTTP://PUPUXHEF.RU/RASTA01.EXE ... OK
  168. Checking HTTP://DEPCOPUQ.RU/RASTA01.EXE ... OK
  169. Checking HTTP://KEBWAKQY.RU/RASTA01.EXE ... OK
  170. Checking HTTP://AFEBIRYN.RU/RASTA01.EXE ... OK
  171. Checking HTTP://LYOHGEOF.RU/RASTA01.EXE ... OK
  172. Checking HTTP://TAFIBCUM.RU/RASTA01.EXE ... OK
  173. Checking HTTP://IMKYHTUG.RU/RASTA01.EXE ... OK
  174. Checking HTTP://GECAKCEM.RU/RASTA01.EXE ... ^CAborted
  175.  
  176. [0x00000000]> !date
  177. Mon Aug  5 18:00:36 JST 2013
  178. [0x00000000]> chkurl
  179. Checking HTTP://JAHKUXYV.RU/RASTA01.EXE ... OK
  180. Checking HTTP://ANGENJEJ.RU/RASTA01.EXE ... OK
  181. Checking HTTP://VYFUXTIS.RU/RASTA01.EXE ... OK
  182. Checking HTTP://DEQYPPIL.RU/RASTA01.EXE ... OK
  183. Checking HTTP://KIZCIVZE.RU/RASTA01.EXE ... OK
  184. Checking HTTP://POWERWIK.RU/RASTA01.EXE ... OK
  185. Checking HTTP://GYCBOKUD.RU/RASTA01.EXE ... DOWN
  186. Checking HTTP://HYNEQREL.RU/RASTA01.EXE ... OK
  187. Checking HTTP://DAHADKYZ.RU/RASTA01.EXE ... OK
  188. Checking HTTP://XUGNEMYQ.RU/RASTA01.EXE ... OK
  189. Checking HTTP://YGXEYVXI.RU/RASTA01.EXE ... OK
  190. Checking HTTP://LUFRUDET.RU/RASTA01.EXE ... OK
  191. Checking HTTP://PUPUXHEF.RU/RASTA01.EXE ... DOWN
  192. Checking HTTP://DEPCOPUQ.RU/RASTA01.EXE ... OK
  193. Checking HTTP://KEBWAKQY.RU/RASTA01.EXE ... OK
  194. Checking HTTP://AFEBIRYN.RU/RASTA01.EXE ... OK
  195. Checking HTTP://LYOHGEOF.RU/RASTA01.EXE ... OK
  196. Checking HTTP://TAFIBCUM.RU/RASTA01.EXE ... OK
  197. Checking HTTP://IMKYHTUG.RU/RASTA01.EXE ... ^CAborted
  198.  
  199. // ↑As you may see the response is changing each time:
  200. // These domains are registered under REGGI.RU information:
  201.  
  202. nserver:       ns1.karozgi.com.
  203. nserver:       ns2.karozgi.com.
  204. nserver:       ns3.karozgi.com.
  205. nserver:       ns4.karozgi.com.
  206. nserver:       ns5.karozgi.com.
  207. nserver:       ns6.karozgi.com.
  208. state:         REGISTERED, DELEGATED, UNVERIFIED
  209. person:        Private Person
  210. registrar:     REGGI-REG-RIPN
  211.  
  212. ---
  213. #MalwareMustDie!
RAW Paste Data
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy. OK, I Understand
 
Top