KYE: Fast-Flux Service Networks

APPENDIX E
Fast-Flux Proxy Samples
In our fast-flux case study, the system downloads a suspiciously named DLL plugin_ddos.dll, whose naming might suggest to some that it is a denial of service component.
00000000  4745 5420 2f77 6562 792f 706c 7567 696e  GET /weby/plugin
00000010  5f64 646f 732e 646c 6c20 4854 5450 2f31  _ddos.dll HTTP/1
00000020  2e31 0d0a 5573 6572 2d41 6765 6e74 3a20  .1..User-Agent: 
00000030  4d53 4945 2037 2e30 0d0a 486f 7374 3a20  MSIE 7.0..Host: 
00000040  3635 2e31 3131 2e31 3736 xxxx xxxx 0d0a  65.111.176.xxx..
00000050  4361 6368 652d 436f 6e74 726f 6c3a 206e  Cache-Control: n
00000060  6f2d 6361 6368 650d 0a0d 0a47 4554 202f  o-cache....GET /
00000070  7765 6279 2f70 6c75 6769 6e5f 6464 6f73  weby/plugin_ddos
00000080  2e64 6c6c 2048 5454 502f 312e 310d 0a55  .dll HTTP/1.1..U
00000090  7365 722d 4167 656e 743a 204d 5349 4520  ser-Agent: MSIE 
000000a0  372e 300d 0a48 6f73 743a 2036 352e 3131  7.0..Host: 65.11
000000b0  312e 3137 362e xxxx xx0d 0a43 6163 6865  1.176.xxx..Cache
000000c0  2d43 6f6e 7472 6f6c 3a20 6e6f 2d63 6163  -Control: no-cac
000000d0  6865 0d0a 0d0a 4745 5420 2f77 6562 792f  he....GET /weby/
000000e0  706c 7567 696e 5f64 646f 732e 646c 6c20  plugin_ddos.dll 
000000f0  4854 5450 2f31 2e31 0d0a 5573 6572 2d41  HTTP/1.1..User-A
00000100  6765 6e74 3a20 4d53 4945 2037 2e30 0d0a  gent: MSIE 7.0..
00000110  486f 7374 3a20 3635 2e31 3131 2e31 3736  Host: 65.111.176
00000120  2exx xxxx 0d0a 4361 6368 652d 436f 6e74  .xxx..Cache-Cont
00000130  726f 6c3a 206e 6f2d 6361 6368 650d 0a0d  rol: no-cache...
00000140  0a48 5454 502f 312e 3120 3230 3020 4f4b  .HTTP/1.1 200 OK
00000150  0d0a 4461 7465 3a20 5475 652c 2030 3320  ..Date: Tue, 03 
00000160  4170 7220 3230 3037 2030 373a 3536 3a30  Apr 2007 07:56:0
00000170  3320 474d 540d 0a53 6572 7665 723a 2041  3 GMT..Server: A
00000180  7061 6368 652f 322e 302e 3534 2028 4665  pache/2.0.54 (Fe
00000190  646f 7261 290d 0a4c 6173 742d 4d6f 6469  dora)..Last-Modi
000001a0  6669 6564 3a20 5361 742c 2031 3020 4d61  fied: Sat, 10 Ma
000001b0  7220 3230 3037 2030 343a 3438 3a31 3720  r 2007 04:48:17 
000001c0  474d 540d 0a45 5461 673a 2022 3830 3031  GMT..ETag: "8001
000001d0  312d 3236 3030 2d33 6661 3238 3634 3022  1-2600-3fa28640"
000001e0  0d0a 4163 6365 7074 2d52 616e 6765 733a  ..Accept-Ranges:
000001f0  2062 7974 6573 0d0a 436f 6e74 656e 742d   bytes..Content-
00000200  4c65 6e67 7468 3a20 3937 3238 0d0a 436f  Length: 9728..Co
00000210  6e6e 6563 7469 6f6e 3a20 636c 6f73 650d  nnection: close.
00000220  0a43 6f6e 7465 6e74 2d54 7970 653a 2061  .Content-Type: a
00000230  7070 6c69 6361 7469 6f6e 2f6f 6374 6574  pplication/octet
00000240  2d73 7472 6561 6d0d 0a0d 0a4d 5a50 0002  -stream....MZP..
00000250  0000 0004 000f 00ff ff00 00b8 0000 0000  ................
.
.
00000f80  0000 0050 6f72 7469 6f6e 7320 436f 7079  ...Portions Copy
00000f90  7269 6768 7420 2863 2920 3139 3939 2c32  right (c) 1999,2
00000fa0  3030 3320 4176 656e 6765 7220 6279 204e  003 Avenger by N
00000fb0  6854 0050 6a40 e8b8 f6ff ffc3 8d40 00b8  hT.Pj@.......@..
.
.
00002260  0000 0001 0000 0028 6000 002c 6000 0030  .......(`..,`..0
00002270  6000 00d4 2200 0042 6000 0000 0070 6c75  `..."..B`....plu
00002280  6769 6e5f 6464 6f73 2e64 6c6c 0056 616c  gin_ddos.dll.Val
00002290  6964 6174 6500 0000 0000 0000 0000 0000  idate...........
.
.
00002700  8237 b8f3 2442 0317 9b3a 8301 0000 8c00  .7..$B...:......
00002710  0000 0009 0000 0001 d070 6c75 6769 6e5f  .........plugin_
00002720  6464 6f73 001c a957 696e 536f 636b 0000  ddos...WinSock..
00002730  c753 7973 7465 6d00 0081 5379 7349 6e69  .System...SysIni
00002740  7400 0c4b 5769 6e64 6f77 7300 1055 5479  t..KWindows..UTy
00002750  7065 7300 0063 7368 6472 000c 3f57 696e  pes..cshdr..?Win
00002760  496e 6574 0000 7957 696e 536f 636b 3200  Inet..yWinSock2.
00002770  0000 0000 0000 0000 0000 0000 0000 0000  ................
00002780  0000 0000 0000 0000 0000 0000 0000 0000  ................
00002790  0000 0000 0000 0000 0000 0000 0000 0000  ................
000027a0  0000 0000 0000 0000 0000 0000 0000 0000  ................
000027b0  0000 0000 0000 0000 0000 0000 0000 0000  ................
000027c0  0000 0000 0000 0000 0000 0000 0000 0000  ................
000027d0  0000 0000 0000 0000 0000 0000 0000 0000  ................
000027e0  0000 0000 0000 0000 0000 0000 0000 0000  ................
000027f0  0000 0000 0000 0000 0000 0000 0000 0000  ................
00002800  0000 0000 0000 0000 0000 0000 0000 0000  ................
00002810  0000 0000 0000 0000 0000 0000 0000 0000  ................
00002820  0000 0000 0000 0000 0000 0000 0000 0000  ................
00002830  0000 0000 0000 0000 0000 0000 0000 0000  ................
00002840  0000 0000 0000 0000 0000 00              ...........