日本のセキュリティチーム

共通タスク
ブログについて
日本のセキュリティチームの日々の活動やマイクロソフトのセキュリティへの取り組み、話題のセキュリティ問題、マルウェア、脆弱性などなど、さまざまなセキュリティに関する情報を発信しています。
検索
関連リンク

マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。

タグ
アーカイブリスト
Archives

January, 2009

TechNet Blogs » 日本のセキュリティチーム » January, 2009
Sort by: Most Recent | Most Views | Most Comments
Excerpt View | Full Post View

  • Conficker(Downadup)ワームに関するまとめ

    Posted over 5 years ago
    by JSECTEAM}

    小野寺です。

    日本国内よりは、海外が主ですが、Conficker (Downadup)について、Microsoft Malware Protection Center (MMPC) Blogで良い記事が出ていたので、抄訳をこちらに掲載しておきます。
    追記(2009/2/27 Conficker.C の情報を、公開しました)

    Conficker ワームに関するまとめ

    マイクロソフトがセキュリティ更新プログラム MS08-067 を公開して以来、私たちは MS08-067の悪用に関する情報、具体的には Conficker ワームに関する情報を、Malware encyclopedia (英語情報) および複数のブログへの投稿で公開しています。 例をここで挙げますと、このブログ(訳注: MMPC Blog)で、マイクロソフトが Conficker ワームについて提供した情報および、このワームが悪用する脆弱性 (この脆弱性については MS08-067 で対策しています) の概要を提供しています。

    まず、お客様に Conficker ワームがコンピューターに感染するために悪用する様々な攻撃の方法を、ご理解いただくことが重要であるため、様々な攻撃の方法の概要を説明します。 この分析に基づき、続いて、お客様がお客様自身を保護するために何ができるかについてのガイダンスを提供します。

    最も重要なガイダンスとして、マイクロソフト セキュリティ情報 MS08-067 に関連するセキュリティ更新プログラムをまだ適用していない場合、直ちにこれを適用してください。 しかし、このワームは多数の追加の攻撃方法を使用するため、皆さんが、多層防御のアプローチを確立することを支援するための追加情報およびガイダンスを提供します。
    最後に、「マイクロソフト悪意のあるソフトウェアの削除ツール」を使用してコンピューターからワームを駆除する方法に関する情報およびポインターを提供します。

    ここで、このワームの蔓延方法を分析に話を戻します。 現在までのところ、"in the wild"の状態で確認されたものはこのワームの 2 つの変種のみです。 まず 1 番目は Worm:Win32/Conficker.A (英語情報) で、2008 年 11 月 21 日に報告され、MS08-067 のセキュリティ更新プログラムにより解決された脆弱性を悪用することによってのみ蔓延します。 この変種はウクライナ語版のキーボードの配列を使用するコンピューターは感染しないため、マルウェアの開発者はウクライナに本拠地を置くのではないかと疑われていました。 Worm:Win32/Conficker.B (英語情報) が 2 番目の変種で、これは 2008 年12月29日に報告されました。この変種は複数の蔓延方法を使用します。

    1. MS08-067 を悪用することにより、ネットワークのその他のコンピューターに感染しようとします。 この方法はWindows コンピューターにすべてのセキュリティ更新プログラムが完全に適用されていない環境で、ワームに感染の足がかりを与えます。
    2. ワーム自体を標的となるコンピューターの ADMIN$ 共有 (既定で Windows フォルダーです) に(ワーム自体を)コピーしようとします。 まず、現在ログオンしているユーザーの資格情報を悪用しようとします。この方法は同じユーザー アカウントがネットワークの異なるコンピューターで使用されており、そのアカウントが管理者権限を持っている環境で、特に有効に機能する可能性があります。 これが失敗した場合、異なる方法を試します。標的となるコンピューターのユーザー アカウントの一覧を取得し、各ユーザーと、脆弱なパスワードの一覧 (例: 「1234」、「password」または「student」) を組み合わせて接続しようとします。 これらの組み合わせの 1 つが有効で、そのアカウントが書き込みアクセス許可を持つ場合、ワーム自体を ADMIN$ フォルダーにコピーします。
    3. USB ドライブやその他のポータブル ストレージなどのリムーバル メディアに、ワーム自体をコピーします。 INF ファイルを追加し、リムーバブル メディアが使用された場合、自動再生ダイアログで 1 つの追加オプションを表示します。 下のスクリーン ショットで、“Open folder to view files – 発行元は指定されていません” のオプションが、このワームにより追加されたもので、強調表示されたオプション “フォルダを開いてファイルを表示– エクスプローラ使用” が Windows が提供するものです。 ユーザーが最初のオプションを選択した場合、ワームが実行されます。

    さらに、Conficker はいくつかの構成変更を行うため、Windows を起動した際には常に実行します。
    特に、サービスとしてそれ自身を追加し、HKCU\Software\Microsoft\Windows\CurrentVersion\Run の下にレジストリ値を追加します。
    また、さまざまなサービスを終了させ、再起動させようとします。詳細情報は こちら (英語情報) をご覧ください。同様に、Worm:Win32/Conficker.B は、ウイルス対策プログラムまたは他のセキュリティ ソフトウェアと思われる名称が含まれているプロセスのすべてを終了させようとします。
    さらに、ウイルス対策およびセキュリティ ベンダー企業の多くの Web サイト、そして Windows Update のサイトへのアクセスを禁止します。このワームはさらに追加のステップを実行します。マイクロソフトの encyclopedia (英語情報) で詳細をご覧ください。
    これらの蔓延方法を考慮した場合、本ワームに感染するリスクを最小限に抑えるために、お客様に複数の措置を講じていただく必要があります。

    • お客様の環境の Windows のコンピューターすべてに MS08-067 を完全にインストールしてください。各エンタープライズで適用を 100% 完全にするのは非常に困難であると思われるため、次の多層防御のステップも、リスクを軽減するのに役立ちます。
    • Conficker の検出を確実に行うウイルス対策製品を使用してください。該当のウイルス対策プログラムはワームがそれ自身を他のマシンにコピーするのを防ぐ機能があります。例えば、Microsoft Forefront Client Security および Windows Live OneCare は検出されたまさに当日からこのワームを検出し、禁止します。
    • お客様の環境の、すべてのユーザー アカウントおよび共有ファイルの両方に堅牢なパスワードを使用してください。
    • 自動再生のオプションについて、お客様に最良の選択をしてください。無効にすることを選択するお客様もいらっしゃいます。

    本脅威にネットワークが感染した場合、上記のステップを行い、環境を強化してください。その後、サポート技術情報 KB 962007 の MSRT により、ステップ バイ ステップの手順で駆除してください。

    役立つリンク:

  • 2009年1月のセキュリティリリース & Conficker (Downadup)の削除に対応したMSRT

    Posted over 5 years ago
    by JSECTEAM}

    小野寺です

    今年最初のセキュリティリリースは、事前通知からの変更はなく、予定通り、計 1 件 (緊急 1 件)となります。

    セキュリティ情報 (新規):
    概要情報、展開に関する情報、およびExploitability Indexは、以下のサイトにまとめています。
    http://www.microsoft.com/japan/technet/security/bulletin/ms09-jan.mspx

    毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、1/14の午後に以下のサイトと、このBlogでの公開を予定しています。
    http://technet.microsoft.com/ja-jp/dd251169.aspx


    MS09-001 (SMB):
    特別に細工されたSMBパケットを受信する事で、認証を必要とせずに、リモートでコードが実行される可能性があります。
    本来であれば、この脆弱性は、非常に危険度の高いもとなり、昨年10月に緊急リリースした MS08-067 と比べて危険度がどの程度なのか気になるところだと思います。 現時点で、Microsoft社内の脆弱性分析を専門に行っているSWIの分析では、脆弱性を悪用した攻撃をおこなっても、「サービス拒否」の状態にしかなず、実際にコードが動作する攻撃コードを作成する事は非常に難しいと考えています。
    しかし、脆弱性として理論的にコード実行が可能ですので、緊急と評価しており、実効性のあるコードが発見悪用される前にセキュリティ更新プログラムを適用する事を推奨します。


    悪意のあるソフトウェアの削除ツール (MSRT):
    今月は、Banload および MS08-067 を悪用する Conficker に対応しています。
    すでに、報道にも有る通り、MS08-067の適用が(たぶん、事情により)行えなかった企業環境で、幾つか感染事例が確認されています。MS08-067が適用されていない、企業ネットワーク内で感染PCが一台でもあれば、ネットワークを通じて感染が広がりやすいネットワーク感染型のワームということもあり、今回MSRTでも、Confickerに対応する事としました。

    また、この Conficker は、MS08-067 の脆弱性だけだはなく、「脆弱なパスワードが設定された管理者アカウントへのログオン試行」や、「マップされたドライブ(リムーバブルドライブなど)に対する自動再生ファイルの設置」等の感染方法も併用するため、脆弱性とは別に、一般的なウイルス対策にの隙をついても感染を広げます。
    技術的な詳細については、このブログの Conficker.B に記載してあります。

    さて、MSRT を企業内で活用する場合、WSUS 等が導入されている場合は、自動更新で配信されるため非常に容易に利用可能です。 しかし、そのような環境ではない場合は、以下のサポート技術情報を参考に、使用する事が可能です。

    企業環境での Microsoft Windows 悪意のあるソフトウェアの削除ツールの展開
    http://support.microsoft.com/kb/891716/

    悪意のあるソフトウェアの削除ツールの入手方法自体は、以下のサイトをご覧ください。
    http://www.microsoft.com/japan/security/malwareremove/default.mspx


     

  • 2009年1月のワンポイントセキュリティ

    Posted over 5 years ago
    by JSECTEAM}

    小野寺です。

    2009年1月のワンポイントセキュリティを公開しました。

    2009年1月のワンポイントセキュリティ情報は、過去のワンポイント セキュリティ情報のサイトより、フルサイズ版・縮小版ビデオや音声版ダウンロードファイルでご利用可能です。

    最新のワンポイント セキュリティ情報は、今月のワンポイント セキュリティ情報からご視聴いただけます。

  • IT Security Award 2009 開始!

    Posted over 5 years ago
    by JSECTEAM}

    小野寺です。

    先ほど、2009年 IT Security Award のクイズ出題を開始しました。
    監督賞、主援賞、作品賞の3つのコースがあり、すべてのコースで豪華(だと私はおもっている)賞品と、最優秀者への表彰とトロフィーを準備しています。

    皆様の挑戦をおまちしています。挑戦は何度でも行えますので、100点が取れるまで挑戦してみてください。
    http://www.microsoft.com/japan/technet/security/award/2009/default.mspx
    (ちなみに、クイズサイトはSilverlightでつくってあります)

  • セキュリティ勉強会

    Posted over 5 years ago
    by JSECTEAM}

    小野寺です

    Microsoft MVPでもある まっちゃさんはなずきんさん に声をかけていただいて久しぶりに、セキュリティ勉強会に参加してきました。
    今回参加したのは、1/17に京都で行われた 「第17回 まっちゃ139」ですが、その一こまを頂いて、セキュリティ インテリジェンス レポート等から見えてるセキュリティの状況などを少しお話させていただきました。(詳細は、http://d.hatena.ne.jp/ripjyr/20090119/1232299639)

    この日も各地で色々な勉強会が30以上並行で行われており、その活発さに驚かされます。 内容も幅広く、誰でも入っていきやすい雰囲気は独特だと思います。

    今週末も、香川県で、新しいセキュリティ勉強会 「セキュリティうどん(かまたま)」の第1回が行われます。セッションも各分野の一人者を読んでおり���こういう人たちに会えるのも勉強会の醍醐味かもしれませんね。 お近くの方は、一度参加されては?キット世界が人がります。

  • 子供にとってパソコンは特別な物ではありません、でも・・・

    Posted over 5 years ago
    by JSECTEAM}

    小野寺です。

    最近、ワームの関するものが多くなっていましたが、ワームへの感染もふくめて、事件・事故に合わないために・・・ということで、「知っとく!なっとく!親子トクトク 情報セキュリティ・ワークショップ」を近日おこないます。

    タイトルにもある通り、子供とその親が対象です。最近ですと、小学校に入るころにはほぼ自由に使えているようです。しかし、その使い方は、利用のモラル、情報の取捨、自己防衛の方法は知らないと思いますし、それを子供に正しく伝えることは、大人でも難しいようです。

    今までも、この部分の啓発には取り組んできましたが、今年はTBS, Yahoo, Microsoft共同で、今までと少し違った形で、ワークショップを開催することにしました。

    http://www.tbs.co.jp/kids/workshop/security_ws.html

    TBSアナウンサーの青木裕子さん、または新井麻希さんの司会で、親子ともども楽しめる形になっています。

    いつもと違う休日の過ごし方として、いかがですか?

  • 2009年1月のセキュリティリリース予定

    Posted over 5 years ago
    by JSECTEAM}

    小野寺です。

    今年最初のセキュリティリリースは、計 1 件 (緊急 1 件) の公開を予定しています。
    リリース日は、週明け水曜日 (1/14) です。日本では、1/12が成人の日で祝日ですので、本日が2営業日前となりますが マイクロソフト本社のある米国のカレンダーを基準にしますので、本日の事前通知となります。


    公開予定の詳細は、以下の事前通知のサイトをご覧ください。
    http://www.microsoft.com/japan/technet/security/bulletin/ms09-jan.mspx

    セキュリティ情報 識別名 最大深刻度および脆弱性の影響 再起動に関する情報 影響を受けるソフトウェア

    Windows

    緊急
    リモートでコードが実行される

    要再起動

    Microsoft Windows

  • Conficker.B

    Posted over 5 years ago
    by JSECTEAM}

    Conficker.B の新亜種 Conficker.B の詳細については、MMPC (Microsoft Malware Protection Center) に掲載していますが、現状日本語情報が無いため、こちらにAnalysisの抄訳を掲載しておきます。
    原典は、http://www.microsoft.com/security/portal/Entry.aspx?name=Worm%3aWin32%2fConficker.B となります。

    技術的な情報

    Worm:Win32/Conficker.B Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上で別のコンピューターを感染させるワームです。

    ファイル共有を有効にしている場合、この脆弱性が悪用され、リモートでコードが実行される可能性があります。また、リムーバブル ドライブで蔓延し、管理者パスワードを脆弱にする場合があります。いくつかの重要なシステム サービスやセキュリティ製品が無効になります。

     

    感染

    Worm:Win32/Conficker.B は、Windows のシステム フォルダーに <random>.dll の名を使用し、それ自身を隠し DLL ファイルとしてコピーします。悪用に失敗すると、次のフォルダーに同じパラメーターでそれ自身をコピーするよう試行します。

     

    %ProgramFiles%\Internet Explorer
    %ProgramFiles%\Movie Maker

     

    次のレジストリ エントリを作成して、Windows が起動した際に、ドロップされたコピーを常に実行させます。

     

    値の追加: "<random string>"
    データ: "rundll32.exe <system folder>\<malware file name>.dll,<malware parameters>"
    サブキー: HKCU\Software\Microsoft\Windows\CurrentVersion\Run

     

    また、システム ファイル svchost.exe netsvcs グループを読み込む時に、起動しているサービスとしてそれ自身をロードします。

     

    さらに、次のキーでそれ自身を登録して、偽のサービスとしてロードする可能性があります:

    HKLM\SYSTEM\CurrentControlSet\Services

     

    次の文字列から 2 種類を組み合わせて作成した表示名を使用する可能性があります:

     

    Boot
    Center
    Config
    Driver
    Helper
    Image
    Installer
    Manager
    Microsoft
    Monitor
    Network
    Security
    Server
    Shell
    Support
    System
    Task
    Time
    Universal
    Update
    Windows

     

    また、表示名を作成するため、文字をランダムに組み合わせる可能性があります。

     

     

    蔓延方法

    脆弱なパスワードが含まれている共有ネットワークを悪用する

    Worm:Win32/Conficker.B は、脆弱な ADMIN$ の共有パスワードが含まれているネットワーク内のマシンを感染させようとします。次のパスワードを使用し、このようなシステムへ管理者ログインを試行します。

     

    123
    1234
    12345
    123456
    1234567
    12345678
    123456789
    1234567890
    123123
    12321
    123321
    123abc
    123qwe
    123asd
    1234abcd
    1234qwer
    1q2w3e
    a1b2c3
    admin
    Admin
    administrator
    nimda
    qwewq
    qweewq
    qwerty
    qweasd
    asdsa
    asddsa
    asdzxc
    asdfgh
    qweasdzxc
    q1w2e3
    qazwsx
    qazwsxedc
    zxcxz
    zxccxz
    zxcvb
    zxcvbn
    passwd
    password
    Password
    login
    Login
    pass
    mypass
    mypassword
    adminadmin
    root
    rootroot
    test
    testtest
    temp
    temptemp
    foofoo
    foobar
    default
    password1
    password12
    password123
    admin1
    admin12
    admin123
    pass1
    pass12
    pass123
    root123
    pw123
    abc123
    qwe123
    test123
    temp123
    mypc123
    home123
    work123
    boss123
    love123
    sample
    example
    internet
    Internet
    nopass
    nopassword
    nothing
    ihavenopass
    temporary
    manager
    business
    oracle
    lotus
    database
    backup
    owner
    computer
    server
    secret
    super
    share
    superuser
    supervisor
    office
    shadow
    system
    public
    secure
    security
    desktop
    changeme
    codename
    codeword
    nobody
    cluster
    customer
    exchange
    explorer
    campus
    money
    access
    domain
    letmein
    letitbe
    anything
    unknown
    monitor
    windows
    files
    academia
    account
    student
    freedom
    forever
    cookie
    coffee
    market
    private
    games
    killer
    controller
    intranet
    work
    home
    job
    foo
    web
    file
    sql
    aaa
    aaaa
    aaaaa
    qqq
    qqqq
    qqqqq
    xxx
    xxxx
    xxxxx
    zzz
    zzzz
    zzzzz
    fuck
    12
    21
    321
    4321
    54321
    654321
    7654321
    87654321
    987654321
    0987654321
    0
    00
    000
    0000
    00000
    00000
    0000000
    00000000
    1
    11
    111
    1111
    11111
    111111
    1111111
    11111111
    2
    22
    222
    2222
    22222
    222222
    2222222
    22222222
    3
    33
    333
    3333
    33333
    333333
    3333333
    33333333
    4
    44
    444
    4444
    44444
    444444
    4444444
    44444444
    5
    55
    555
    5555
    55555
    555555
    5555555
    55555555
    6
    66
    666
    6666
    66666
    666666
    6666666
    66666666
    7
    77
    777
    7777
    77777
    777777
    7777777
    77777777
    8
    88
    888
    8888
    88888
    888888
    8888888
    88888888
    9
    99
    999
    9999
    99999
    999999
    9999999
    99999999

     

    Win32/Conficker.B がマシンへのログオンに成功した場合、アクセス可能な admin の共有に、ADMIN$\System32\<random letters>.dll としてそれ自身をコピーします。このワームはリモートでジョブ スケジュールを作成 (コマンド - “rundll32.exe <malware file name>.dll,<malware parameters>")、コピーを有効にします。

     

    マップされたドライブ

    Worm:Win32/Conficker.B は、<random> ファイル名を使用して、すべてのマップされたドライブにそれ自身をコピーします。このワームはマップされたドライブのルートに 'RECYCLER' という名称のフォルダーを作成します。 Windows XP またはそれ以前のバージョンでは、フォルダー "RECYCLER" "Recycle Bin" と示されます。次に、このワームは次のようにそれ自身をコピーします:

     

    <drive:>\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\<random letters>.dll

     

    %d の部分は文字がランダムに選択されます。このワームは関連の autorun.inf ファイルをドロップするので、ドライブのアクセスおよび自動再生機能が有効になった場合、自動でワームのコピーが実行されます。

     

    MS08-067 HTTP 'コール バック'

    システムで蔓延する Worm:Win32/Conficker.B について、Windows Server サービス (SVCHOST.EXE) の脆弱性に対してセキュリティ更新プログラムを適用しておらず、脆弱性が悪用された場合、このワームが標的のコンピューターに侵入し、1024 から 10000 の間のランダム ポートを開き、HTTP プロトコルを介してホストコンピューターからワームのコピーをダウンロードします。この脆弱性に関する説明は、Microsoft Security Bulletin MS08-067 をご覧ください。

     

    ペイロード

    システムの構成を変更する

    Worm:Win32/Conficker.B はシステム構成を変更するので、ユーザーは隠しファイルを表示できません。次のレジストリ エントリを変更して実行します。

     

    値の追加: "CheckedValue"
    データ: "0"
    サブキー: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL

     

    システムの TCP 構成を変更し、多くの同時接続を許可します (0x00FFFFFE 16 進で、16,777,214 デシマル値です)

     

    値の追加: "TcpNumConnections"
    データ: "0x00FFFFFE"
    サブキー: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

     

    このワームは一時ファイルをドロップし、変更を有効にするために TCP/IP を再起動させようとします。このドロップされたファイルは Trojan:WinNT/Conficker.B として検出されました。

     

    サービスの終了および無効化

    Worm:Win32/Conficker.B は、次のような重要なシステム サービスをいくつか終了させます。

     

    Windows Update Service
    Background Intelligent Transfer Service
    Windows Defender
    Windows Error Reporting Services

     

    Win32/Conficker.B Windows Defender 向けのレジストリ キーを削除し、システムが起動した際に実行させないようにし、Windows Vista TCP/IP の自己調整を無効にします。

    また、次のいずれかの文字列が含まれるモジュール名を持つプロセスが、ネットワーク トラフィックまたはデータに送信できなくなります。 (文字列のほとんどがウイルス対策およびセキュリティ ソフトウェアに関連しているため、署名のアップデートの入手が事実上不可能になり、ユーザーがこれらの文字列を含む URL Web サイトにアクセスできなくなることに注意してください):

    virus
    spyware
    malware
    rootkit
    defender
    microsoft
    symantec
    norton
    mcafee
    trendmicro
    sophos
    panda
    etrust
    networkassociates
    computerassociates
    f-secure
    kaspersky
    jotti
    f-prot
    nod32
    eset
    grisoft
    drweb
    centralcommand
    ahnlab
    esafe
    avast
    avira
    quickheal
    comodo
    clamav
    ewido
    fortinet
    gdata
    hacksoft
    hauri
    ikarus
    k7computing
    norman
    pctools
    prevx
    rising
    securecomputing
    sunbelt
    emsisoft
    arcabit
    cpsecure
    spamhaus
    castlecops
    threatexpert
    wilderssecurity
    windowsupdate

     

    システムの復元ポイントをリセットする

    Win32/Conficker.B は、コンピューターのシステムの復元ポイントをリセットする場合があり、システムの復元を使用するリカバリに失敗する可能性があります。

     

    インターネット接続を確認する

    Win32/Conficker.B はシステムがインターネット接続されているかを確認するため、次の Web サイトへの接続を試行します:

     

    aol.com

    cnn.com

    ebay.com

    msn.com

    myspace.com

     

    任意のファイルをダウンロードする

    システムの日付により、Win32/Conficker.B は、ファイルをダウンロードするため、次のフォーマットのように 2009 1 1 日付で URL を構築する可能性があります。

     

    http://<pseudo-random generated URL>/search?q=%d

     

    生成された URL は、現在のシステムの日付が基になります。

    構築された URL は、次の最上位のドメインのいずれかひとつを使用します:

     

    .cc

    .cn

    .ws

    .com

    .net

    .org

    .info

    .biz

     

    構築された URL の例は以下の通りです:

     

    aaovt.com
    aasmlhzbpqe.com
    addgv.com
    ajsxarj.org
    apwzjq.ws
    aradfkyqv.org
    arztiwbeh.cc
    baixumxhmks.ws
    bfwtjrto.org
    bfwvzxd.info
    bmaeqlhulq.cc
    byiiureq.cn
    cbizghsq.cc
    cbkenfa.org
    ciabjhmosz.cc
    cruutiitz.com
    ctnlczp.org
    ctohyudfbm.cn
    dcopyoojw.com
    djdgnrbacwt.ws
    dmwemynbrmz.org
    dofmrfqvis.cn
    doxkknuq.org
    dozjritemv.info
    dyjsialozl.ws
    eaieijqcqlv.org
    eewxsvtkyn.net
    eidqdorgmbr.net
    eiqzepxacyb.cn
    ejdmzbzzaos.biz
    ejmxd.com
    ejzrcqqw.net
    ekusgwp.cc
    eprhdsudnnh.biz
    evmwgi.ws
    falru.net
    fctkztzhyr.org
    fdkjan.net
    fhfntt.org
    fhspuip.biz
    fjpzgrf.net
    fkzdr.cn
    ftjggny.com
    fuimrawg.info
    ghdokt.cn
    glbmkbmdax.biz
    gmhkdp.org
    gocpopuklm.org
    grwemw.biz
    gtzaick.cc
    gxzlgsoa.info
    gypqfjho.info
    hduyjkrouop.info
    hfgxlzjbfka.biz
    hkgzoi.com
    hliteqmjyb.net
    hmdtv.ws
    hoyolhmnzbs.net
    hprfux.cc
    hqbttlqr.org
    hueminaii.org
    hvogkfiq.info
    ifylodtv.ws
    iivsjpfumd.ws
    ilksbuv.cn
    imuez.biz
    izxvu.biz
    jaumgubte.biz
    jhbeiiizlfk.cn
    jrdzx.cc
    jshkqnnkeao.biz
    judhei.com
    jxfiysai.cc
    jzoowlbehqn.info
    karhhse.com
    kbyjkjkbb.info
    kjsxokxg.org
    krudjhvk.org
    kuiwtbfa.org
    lauowjef.cn
    lhirjymcod.net
    liugwg.net
    lksvlouw.ws
    llgkuclk.info
    lnpsesbcm.cn
    lssvxqkqfmf.org
    lygskbx.cc
    mafwkeat.cn
    mgqrrsxhnj.com
    mhklpsbuh.cc
    mknuzwq.cc
    mqjkzbov.net
    myfhc.com
    navjrj.org
    nbpykcdsoms.com
    ncbeaucjxd.org
    npfxmztnaw.cn
    nuiptipwjj.cc
    nvpmfnlsh.ws
    oagwongs.ws
    odvsz.net
    okkpuzqck.ws
    oqolfrjq.cn
    orduhippw.cn
    orpngykld.com
    orxfq.ws
    othobnrx.org
    otnqqaclsgx.info
    otukeesevg.biz
    pbfhhhvzkp.cc
    pbpigz.cn
    pcnpxbg.cc
    pdfrbmxh.biz
    pfdthjxs.cc
    phaems.cc
    phetxwmjqsj.cc
    pmanbkyshj.ws
    pnjlx.cc
    ppzwqcdc.cc
    psabcdq.cc
    ptdlwsi.cn
    pvowgkgjmu.biz
    pwsjbdkdewv.info
    qbuic.com
    qdteltj.org
    qeotxrp.com
    qfeqsagbjs.biz
    qfhqgciz.org
    qfogch.com
    qijztpxaxk.cn
    qlqrgqordj.ws
    qpiivu.cn
    qpuowsw.cc
    qqbbg.cc
    qrrzna.net
    qvrgznvvwz.ws
    qwdervbq.org
    qwnydyb.cc
    qzbpqbhzmp.com
    rkfdx.org
    rpphv.org
    rskvraofl.info
    ryruatsot.biz
    sdkhznqj.info
    sezpo.org
    sfozmwybm.com
    skwmyjq.org
    solmpem.com
    sqmsrvnjits.cc
    stlgegbye.net
    syryb.org
    tdwrkv.ws
    tfpazwas.cc
    tigeseo.org
    tjyhrcfxuc.cn
    tkbyxr.ws
    tlmncy.cn
    tmlwmvv.ws
    tnerivsvs.net
    tomxoa.org
    trpkeyqapp.net
    tyjtkayz.com
    uazlwwiv.org
    ucgqvyjgpk.cn
    uixvflbyoyi.biz
    ujawdcoqgs.org
    upxva.net
    uuvjh.biz
    uzugvbnvs.cn
    vgmkhtux.ws
    vjllpcucnp.cn
    vkgxgxto.com
    vwiualt.com
    waxggypgu.org
    wccckyfrtf.net
    wfdnvlrcb.org
    whjworuc.com
    wmiwxt.biz
    wohms.biz
    wqqfbutswyf.info
    wsdlzmpbwhj.net
    xiclytmeger.cc
    xkjdzqbxg.cn
    xldbmaztfu.biz
    xlwcv.cn
    xqbovbdzjz.info
    xwbubjmhinr.info
    yfpdcquil.info
    yfybk.ws
    yhrpqjhp.biz
    yoblqeruib.org
    yoyze.cc
    yshpve.cc
    ysrixiwyd.com
    ytfvksowgul.org
    ywsrtetv.org
    yzymygez.biz
    zcwjkxynr.com
    zfgufbxi.net
    zkimm.info
    zmoeuxuh.ws
    zokxy.net
    zqrsbqzhh.cc
    zttykt.info
    zutykstmrxq.ws

     

    システムの日付が 2009 1 1 日またはそれ以降であるかを確認します。また、次の Web サイトについて日付を確認しますが、おそらく検証のためであると考えられます。

     

    baidu.com
    google.com
    yahoo.com
    msn.com
    ask.com
    w3.org