赞赏记录
参与人
雪币
留言
时间
伟叔叔
为你点赞~
2024-5-31 04:58
心游尘世外
为你点赞~
2024-5-31 01:43
QinBeast
为你点赞~
2024-5-31 01:33
飘零丶
为你点赞~
2024-3-28 03:50
shinratensei
为你点赞~
2024-1-30 01:12
PLEBFE
为你点赞~
2023-3-7 00:43
|
|
|---|---|
|
|
先站位,吃饭去了,回来继续排版
|
|
|
楼主,分析出来了再继续牛逼一点写出专杀??
 我很期待。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 got it
|
|
|
|
|
|
呵呵,注意查询IP是个很好的习惯,不过。。。
相对而言,我们猜猜某人如果注册特定国家一级域名的话。。。 是更可能注册一个其他国家的域名然后指向本国的IP,还是更可能注册本国域名然后指向其他国家的IP?  好吧猜测归猜测,我们一步步分析 1. 先打开一级域名osa.pl看看,自动跳转到另一个波兰域名bee.pl 2. 再看osa.pl的whois记录,这是个06就注册了的私人域名,但表面上看起来没有正式启用 3. 这个域名最初是通过一家波兰境内的域名服务商az.pl注册的,但在09年后换了另一家塞浦路斯的离案波兰域名服务商dropped.pl 4. 一级osa.pl本身指向的是一个分配给加拿大的IP地址184.107.53.150, 而本贴提到的二级域名paziza.osa.pl指向的是另一个分配给俄罗斯的虚拟主机和主机托管服务商“Digital Networks CJSC”管辖下的IP地址79.137.226.87,注意osa.pl本身不是不是免费二级域名服务商 5. IP地址79.137.226.87的HTTP服务器似乎停止响应了,但IP还Ping的通,不排除随时恢复的可能。另一方面,这个地址还至少托管了5个域名,adultplaythings.biz,massatrabl.info,onstarted.info,savewindows.ru,statisco.org。全部是去年或今年才注册的私人域名。 6. 再看看一级域名osa.pl指向的这个加拿大IP184.107.53.150,这个地址至少托管了5个波兰一级域名345.pl,bee.pl,bij.pl,orge.pl,osa.pl,全部都自动跳转到bee.pl,并不定期自动随机选择一种语言显示“站点正在建设中”。注意这5个一级域名全都是05-06年通过不同波兰域名服务商注册的私人域名。 综合这些因素考虑,以下2种可能比较大 1. 这个Downloader的幕后运作者是个懂俄语的波兰人(个人觉得这个可能最大) 2. 是个黑了波兰人域名的俄罗斯人(对于一个没正式启用的域名,被黑的可能性不大,倒是这么多注册了多年的一级域名一直没有用不说,反而随即选择一种语言显示“站点正在建设中”让我觉得很诡异) 当然,也可能是某位牛哥同时黑了波兰人的域名和老毛子的服务器,不过这个概率小了点 不过这里至少说明了一点,这位幕后先生,虽说可能说不上是专业的,至少也是认真的,也许在不远的将来我们还会看到他的其他动作 这里可能扯得太多了。主要是想说明一点,偶尔运气好的时候,可能会从一些蛛丝马迹中找出别的故事来 |
|
|
最后不妨再Google一下关键字"osa.pl malware",
大量的搜索结果,这应该够说明这家伙是个波兰人了, 有时间和兴趣的朋友无妨继续查下去,我就不唠叨了 通常Downloader本身的内容有限,但如果能找出一些背后运作者的故事,一些客户会感兴趣的 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
