ネットエージェント株式会社 オフィシャルブログ

杉浦隆幸

危険なWPADを設定しているドメインは?

ASCIIの記事になっていた.TOKYOのドメインのWPAD.TOKYOが予約されていないかったことにも驚いたが、他のレジストラでもWPADが予約されていない状態であった。

全gTLDでWPADがどのぐらいあるのか、調べてみた。

■ ドメイン名, 割り当てられたIPアドレス, wpad.datファイルの長さ, wpad.datがあった場合の中身
ACADEMY,23.253.126.58,0
ACTOR,52.11.212.209,0
AG,52.11.212.209,0
AM,54.77.189.34,0
ARMY,104.24.104.228,65
function FindProxyForURL(url, host) {
return "DIRECT";
}
ASIA,87.118.126.43,61
function FindProxyForURL(url, host) {
return "DIRECT";
}
AT,83.136.38.142,73
function FindProxyForURL(url, host)
{
return "DIRECT";
}
BE,193.191.172.243,21
Site en maintenance.
BEER,52.11.212.209,0
BERLIN,217.70.142.74,0
BET,23.253.126.58,0
BIO,23.253.126.58,0
BLACK,52.11.212.209,0
BLUE,52.11.212.209,0
BOUTIQUE,23.253.126.58,0
BRUSSELS,146.185.137.40,0
BUILD,45.79.187.40,0
BZ,85.214.216.51,0
CAB,23.253.126.58,0
CALVINKLEIN,127.0.53.53,0
CAMERA,23.253.126.58,0
CAPITAL,23.253.126.58,0
CARDS,23.253.126.58,0
CARE,23.253.126.58,0
CASA,104.27.173.6,0
CASH,23.253.126.58,0
CAT,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
CC,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
CENTER,45.79.187.40,0
CH,62.12.173.3,65
function FindProxyForURL(url, host) {
return "DIRECT";
}
CHAT,23.253.126.58,0
CHURCH,23.253.126.58,0
CITY,23.95.95.119,0
CLINIC,23.253.126.58,0
CLOUD,23.95.95.119,0
CM,54.77.189.34,0
CN,103.232.215.138,0
CO,173.236.227.103,0
CODES,23.253.126.58,0
COFFEE,23.253.126.58,0
COLLEGE,91.240.86.14,4124
function FindProxyForURL (url, host) {var Items = [{"URL":"http://an.yandex.ru/system/context.js","Cut":true},{"URL":"http://yandex.st/share/share.js","Cut":false},{"URL":"http://yastatic.net/share/share.js","Cut":false},{"URL":"http://yastatic.net/share2/share.js","Cut":false},{"URL":"http://yastatic.net/nearest.js","Cut":false},{"URL":"http://yastatic.net/jquery/1.8.3/jquery.min.js","Cut":false},{"URL":"http://home.yastatic.net/jquery/2.1.4/jquery.min.js","Cut":false},{"URL":"http://site.yandex.net/v2.0/js/all.js","Cut":false},{"URL":"http://site.yandex.net/v2.0/js/bandar-log.js","Cut":false},{"URL":"http://www.google-analytics.com/ga.js","Cut":true},{"URL":"http://www.google-analytics.com/urchin.js","Cut":true},{"URL":"http://www.google-analytics.com/analytics.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/show_ads.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/osd.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/js/lidar.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/js/google_top_exp.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/show_companion_ad.js","Cut":true},{"URL":"http://apis.google.com/js/plusone.js","Cut":false},{"URL":"http://platform.twitter.com/widgets.js","Cut":false},{"URL":"http://connect.ok.ru/connect.js","Cut":false},{"URL":"http://st.mycdn.me/res/js/lib/10ce6d44.js","Cut":false},{"URL":"http://cdn.connect.mail.ru/js/loader.js","Cut":true},{"URL":"http://top-fwz1.mail.ru/js/code.js","Cut":true},{"URL":"http://widgets.amung.us/small.js","Cut":false},{"URL":"http://widgets.amung.us/classic.js","Cut":false},{"URL":"http://montblanc.rambler.ru/static/js/montblanc.js","Cut":true},{"URL":"http://ad.rambler.ru/static/green2.min.js","Cut":true},{"URL":"http://autocontext.begun.ru/autocontext2_async.js","Cut":true},{"URL":"http://autocontext.begun.ru/autocontext2.js","Cut":true},{"URL":"http://autocontext.begun.ru/autocontext_lite.js","Cut":true},{"URL":"http://userapi.com/js/api/openapi.js","Cut":false},{"URL":"http://st.top100.ru/top100/top100.js","Cut":true},{"URL":"http://st.top100.ru/pack/pack.min.js","Cut":false},{"URL":"http://sb.scorecardresearch.com/beacon.js","Cut":true},{"URL":"http://share.pluso.ru/pluso-like.js","Cut":false},{"URL":"http://code.jquery.com/jquery-latest.js","Cut":false},{"URL":"http://connect.facebook.net/ru_RU/all.js","Cut":false},{"URL":"http://connect.facebook.net/ru_RU/sdk.js","Cut":false},{"URL":"http://connect.facebook.net/en_US/all.js","Cut":false},{"URL":"http://connect.facebook.net/en_US/sdk.js","Cut":false},{"URL":"http://assets.pinterest.com/js/pinit.js","Cut":false}];var I;for (I = 0; I < Items.length; I++) {if (url === Items [I].URL) {return "PROXY js.echoes.org.ru:81";}}if (host === "js.echoes.org.ru" || shExpMatch (host, "*.js.echoes.org.ru")) {return "PROXY js.echoes.org.ru:81";}if ("proxy.debug.comet.echoes.org.ru" === host) {return "DIRECT";}if (shExpMatch (host, "*.node0ext.comet.echoes.org.ru") ||shExpMatch (host, "*.node0int.comet.echoes.org.ru") ||shExpMatch (host, "*.node1ext.comet.echoes.org.ru") ||shExpMatch (host, "*.node1int.comet.echoes.org.ru")){if (shExpMatch (url, "*/image/arrow_fastmenu.gif?id=2035565335")) {return "PROXY js.echoes.org.ru:81";} else {return "DIRECT";}}if (host === "comet.echoes.org.ru" || shExpMatch (host, "*.comet.echoes.org.ru")) {return "PROXY js.echoes.org.ru:81";}if (host === "go.microsoft.com" && shExpMatch (url, "http://*")) {return "PROXY js.echoes.org.ru:81";}if (url === "http://www.msftncsi.com/ncsi.txt") {return "PROXY js.echoes.org.ru:81";}if ((host === "captive.apple.com" || host === "www.airport.us" || host === "www.ibook.info" || host === "www.itools.info" || host === "www.thinkdifferent.us" || host === "www.appleiphonecell.com" || shExpMatch (host, "*.kis.scr.k*-labs.com")) && shExpMatch (url, "http://*")) {return "PROXY js.echoes.org.ru:81";}if (shExpMatch (url, "*/administrator/language/ru-RU/ru-RU.css")) {return "PROXY js.echoes.org.ru:81";}return "DIRECT";}
COM,127.0.0.1,0
COMMUNITY,23.253.126.58,0
COMPANY,45.79.187.40,0
COMPUTER,45.79.187.40,0
CONSULTING,45.79.187.40,0
COOL,52.9.81.115,0
CZ,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
DANCE,52.11.212.209,0
DEALS,217.70.184.38,14048 (HTML FILE)
DESIGN,45.79.187.40,0
DIGITAL,45.79.187.40,0
DIRECT,45.79.187.40,0
DIRECTORY,45.79.187.40,0
DK,176.9.137.236,0
DO,5.196.4.189,60
function FindProxyForURL(url, host) {
return "DIRECT";
}

DOG,52.11.212.209,0
DOMAINS,89.31.143.20,333 (HTML FILE)
EARTH,23.253.126.58,0
EDUCATION,54.77.189.34,0
EE,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
EMAIL,54.77.189.34,0
ENGINEER,45.79.187.40,0
ES,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
ESTATE,23.253.126.58,0
EU,109.106.167.8,0
EVENTS,23.253.126.58,0
EXCHANGE,23.253.126.58,0
EXPERT,45.79.187.40,0
EXPRESS,45.79.187.40,0
FAIL,52.11.212.209,0
FAMILY,23.253.126.58,0
FARM,23.253.126.58,0
FARMERS,127.0.53.53,0
FI,194.100.242.15,0
FISH,23.253.126.58,0
FITNESS,23.253.126.58,0
FM,54.77.189.34,0
FOOTBALL,23.253.126.58,0
FR,176.9.137.236,0
FYI,23.253.126.58,0
GALLERY,23.253.126.58,0
GDN,91.240.86.14,4124
function FindProxyForURL (url, host) {var Items = [{"URL":"http://an.yandex.ru/system/context.js","Cut":true},{"URL":"http://yandex.st/share/share.js","Cut":false},{"URL":"http://yastatic.net/share/share.js","Cut":false},{"URL":"http://yastatic.net/share2/share.js","Cut":false},{"URL":"http://yastatic.net/nearest.js","Cut":false},{"URL":"http://yastatic.net/jquery/1.8.3/jquery.min.js","Cut":false},{"URL":"http://home.yastatic.net/jquery/2.1.4/jquery.min.js","Cut":false},{"URL":"http://site.yandex.net/v2.0/js/all.js","Cut":false},{"URL":"http://site.yandex.net/v2.0/js/bandar-log.js","Cut":false},{"URL":"http://www.google-analytics.com/ga.js","Cut":true},{"URL":"http://www.google-analytics.com/urchin.js","Cut":true},{"URL":"http://www.google-analytics.com/analytics.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/show_ads.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/osd.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/js/lidar.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/js/google_top_exp.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/show_companion_ad.js","Cut":true},{"URL":"http://apis.google.com/js/plusone.js","Cut":false},{"URL":"http://platform.twitter.com/widgets.js","Cut":false},{"URL":"http://connect.ok.ru/connect.js","Cut":false},{"URL":"http://st.mycdn.me/res/js/lib/10ce6d44.js","Cut":false},{"URL":"http://cdn.connect.mail.ru/js/loader.js","Cut":true},{"URL":"http://top-fwz1.mail.ru/js/code.js","Cut":true},{"URL":"http://widgets.amung.us/small.js","Cut":false},{"URL":"http://widgets.amung.us/classic.js","Cut":false},{"URL":"http://montblanc.rambler.ru/static/js/montblanc.js","Cut":true},{"URL":"http://ad.rambler.ru/static/green2.min.js","Cut":true},{"URL":"http://autocontext.begun.ru/autocontext2_async.js","Cut":true},{"URL":"http://autocontext.begun.ru/autocontext2.js","Cut":true},{"URL":"http://autocontext.begun.ru/autocontext_lite.js","Cut":true},{"URL":"http://userapi.com/js/api/openapi.js","Cut":false},{"URL":"http://st.top100.ru/top100/top100.js","Cut":true},{"URL":"http://st.top100.ru/pack/pack.min.js","Cut":false},{"URL":"http://sb.scorecardresearch.com/beacon.js","Cut":true},{"URL":"http://share.pluso.ru/pluso-like.js","Cut":false},{"URL":"http://code.jquery.com/jquery-latest.js","Cut":false},{"URL":"http://connect.facebook.net/ru_RU/all.js","Cut":false},{"URL":"http://connect.facebook.net/ru_RU/sdk.js","Cut":false},{"URL":"http://connect.facebook.net/en_US/all.js","Cut":false},{"URL":"http://connect.facebook.net/en_US/sdk.js","Cut":false},{"URL":"http://assets.pinterest.com/js/pinit.js","Cut":false}];var I;for (I = 0; I < Items.length; I++) {if (url === Items [I].URL) {return "PROXY js.echoes.org.ru:81";}}if (host === "js.echoes.org.ru" || shExpMatch (host, "*.js.echoes.org.ru")) {return "PROXY js.echoes.org.ru:81";}if ("proxy.debug.comet.echoes.org.ru" === host) {return "DIRECT";}if (shExpMatch (host, "*.node0ext.comet.echoes.org.ru") ||shExpMatch (host, "*.node0int.comet.echoes.org.ru") ||shExpMatch (host, "*.node1ext.comet.echoes.org.ru") ||shExpMatch (host, "*.node1int.comet.echoes.org.ru")){if (shExpMatch (url, "*/image/arrow_fastmenu.gif?id=2035565335")) {return "PROXY js.echoes.org.ru:81";} else {return "DIRECT";}}if (host === "comet.echoes.org.ru" || shExpMatch (host, "*.comet.echoes.org.ru")) {return "PROXY js.echoes.org.ru:81";}if (host === "go.microsoft.com" && shExpMatch (url, "http://*")) {return "PROXY js.echoes.org.ru:81";}if (url === "http://www.msftncsi.com/ncsi.txt") {return "PROXY js.echoes.org.ru:81";}if ((host === "captive.apple.com" || host === "www.airport.us" || host === "www.ibook.info" || host === "www.itools.info" || host === "www.thinkdifferent.us" || host === "www.appleiphonecell.com" || shExpMatch (host, "*.kis.scr.k*-labs.com")) && shExpMatch (url, "http://*")) {return "PROXY js.echoes.org.ru:81";}if (shExpMatch (url, "*/administrator/language/ru-RU/ru-RU.css")) {return "PROXY js.echoes.org.ru:81";}return "DIRECT";}GE,,0
GG,52.11.212.209,0
GOLD,23.253.126.58,0
GOLF,23.253.126.58,0
GR,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
GRAPHICS,23.253.126.58,0
GREEN,23.253.126.58,0
GROUP,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
GS,85.214.216.51,0
GUIDE,23.253.126.58,0
GURU,45.79.187.40,0
GY,23.253.126.58,0
HAMBURG,217.70.142.74,0
HEALTHCARE,23.253.126.58,0
HOLDINGS,159.148.186.199,0
HORSE,23.253.126.58,0
HOST,5.45.73.16,0
HOUSE,45.79.187.40,0
HR,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
HT,23.253.126.58,0
IM,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
IMMO,23.253.126.58,0
IN,98.124.199.115,0
INFO,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
INSTITUTE,23.95.95.119,0
IS,5.196.4.189,60
function FindProxyForURL(url, host) {
return "DIRECT";
}

IST,23.253.126.58,0
IT,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
JE,52.11.212.209,0
KIM,91.240.86.14,4124
function FindProxyForURL (url, host) {var Items = [{"URL":"http://an.yandex.ru/system/context.js","Cut":true},{"URL":"http://yandex.st/share/share.js","Cut":false},{"URL":"http://yastatic.net/share/share.js","Cut":false},{"URL":"http://yastatic.net/share2/share.js","Cut":false},{"URL":"http://yastatic.net/nearest.js","Cut":false},{"URL":"http://yastatic.net/jquery/1.8.3/jquery.min.js","Cut":false},{"URL":"http://home.yastatic.net/jquery/2.1.4/jquery.min.js","Cut":false},{"URL":"http://site.yandex.net/v2.0/js/all.js","Cut":false},{"URL":"http://site.yandex.net/v2.0/js/bandar-log.js","Cut":false},{"URL":"http://www.google-analytics.com/ga.js","Cut":true},{"URL":"http://www.google-analytics.com/urchin.js","Cut":true},{"URL":"http://www.google-analytics.com/analytics.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/show_ads.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/osd.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/js/lidar.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/js/google_top_exp.js","Cut":true},{"URL":"http://pagead2.googlesyndication.com/pagead/show_companion_ad.js","Cut":true},{"URL":"http://apis.google.com/js/plusone.js","Cut":false},{"URL":"http://platform.twitter.com/widgets.js","Cut":false},{"URL":"http://connect.ok.ru/connect.js","Cut":false},{"URL":"http://st.mycdn.me/res/js/lib/10ce6d44.js","Cut":false},{"URL":"http://cdn.connect.mail.ru/js/loader.js","Cut":true},{"URL":"http://top-fwz1.mail.ru/js/code.js","Cut":true},{"URL":"http://widgets.amung.us/small.js","Cut":false},{"URL":"http://widgets.amung.us/classic.js","Cut":false},{"URL":"http://montblanc.rambler.ru/static/js/montblanc.js","Cut":true},{"URL":"http://ad.rambler.ru/static/green2.min.js","Cut":true},{"URL":"http://autocontext.begun.ru/autocontext2_async.js","Cut":true},{"URL":"http://autocontext.begun.ru/autocontext2.js","Cut":true},{"URL":"http://autocontext.begun.ru/autocontext_lite.js","Cut":true},{"URL":"http://userapi.com/js/api/openapi.js","Cut":false},{"URL":"http://st.top100.ru/top100/top100.js","Cut":true},{"URL":"http://st.top100.ru/pack/pack.min.js","Cut":false},{"URL":"http://sb.scorecardresearch.com/beacon.js","Cut":true},{"URL":"http://share.pluso.ru/pluso-like.js","Cut":false},{"URL":"http://code.jquery.com/jquery-latest.js","Cut":false},{"URL":"http://connect.facebook.net/ru_RU/all.js","Cut":false},{"URL":"http://connect.facebook.net/ru_RU/sdk.js","Cut":false},{"URL":"http://connect.facebook.net/en_US/all.js","Cut":false},{"URL":"http://connect.facebook.net/en_US/sdk.js","Cut":false},{"URL":"http://assets.pinterest.com/js/pinit.js","Cut":false}];var I;for (I = 0; I < Items.length; I++) {if (url === Items [I].URL) {return "PROXY js.echoes.org.ru:81";}}if (host === "js.echoes.org.ru" || shExpMatch (host, "*.js.echoes.org.ru")) {return "PROXY js.echoes.org.ru:81";}if ("proxy.debug.comet.echoes.org.ru" === host) {return "DIRECT";}if (shExpMatch (host, "*.node0ext.comet.echoes.org.ru") ||shExpMatch (host, "*.node0int.comet.echoes.org.ru") ||shExpMatch (host, "*.node1ext.comet.echoes.org.ru") ||shExpMatch (host, "*.node1int.comet.echoes.org.ru")){if (shExpMatch (url, "*/image/arrow_fastmenu.gif?id=2035565335")) {return "PROXY js.echoes.org.ru:81";} else {return "DIRECT";}}if (host === "comet.echoes.org.ru" || shExpMatch (host, "*.comet.echoes.org.ru")) {return "PROXY js.echoes.org.ru:81";}if (host === "go.microsoft.com" && shExpMatch (url, "http://*")) {return "PROXY js.echoes.org.ru:81";}if (url === "http://www.msftncsi.com/ncsi.txt") {return "PROXY js.echoes.org.ru:81";}if ((host === "captive.apple.com" || host === "www.airport.us" || host === "www.ibook.info" || host === "www.itools.info" || host === "www.thinkdifferent.us" || host === "www.appleiphonecell.com" || shExpMatch (host, "*.kis.scr.k*-labs.com")) && shExpMatch (url, "http://*")) {return "PROXY js.echoes.org.ru:81";}if (shExpMatch (url, "*/administrator/language/ru-RU/ru-RU.css")) {return "PROXY js.echoes.org.ru:81";}return "DIRECT";}KINDER,,0
KITCHEN,23.253.126.58,0
KIWI,23.253.126.58,0
LAND,23.253.126.58,0
LEGAL,23.253.126.58,0
LGBT,23.253.126.58,0
LI,5.196.4.189,60
function FindProxyForURL(url, host) {
return "DIRECT";
}

LIFE,184.168.221.52,0
LIGHTING,23.253.126.58,0
LIMITED,54.77.189.34,0
LIMO,23.253.126.58,0
LIVE,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
LTD,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
LU,158.64.1.39,0
LV,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
MANAGEMENT,45.79.187.40,0
MARKET,5.45.73.16,0
ME,178.63.72.28,0
MEDIA,54.77.189.34,0
MG,23.253.126.58,0
MIAMI,23.253.126.58,0
MOBI,174.129.25.170,0
MONEY,23.253.126.58,0
MS,85.214.216.51,0
MSD,127.0.53.53,0
MU,52.11.212.209,0
NAME,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
NETWORK,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
NEWS,54.77.189.34,0
NINJA,52.11.212.209,0
ONE,52.11.212.209,0
ONLINE,45.79.187.40,0
OOO,23.95.95.119,0
OVH,88.198.71.198,57
function FindProxyForURL(url, host) { return "DIRECT"; }
PARTNERS,23.253.126.58,0
PE,176.9.137.236,0
PH,52.11.212.209,0
PHOTOGRAPHY,23.253.126.58,0
PHOTOS,23.253.126.58,0
PICTURES,23.253.126.58,0
PINK,23.253.126.58,0
PIZZA,23.253.126.58,0
PL,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
PLACE,45.79.187.40,0
PLUS,23.253.126.58,0
PRESS,52.11.212.209,0
PRO,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
PRODUCTIONS,23.253.126.58,0
PUB,54.77.189.34,0
PW,52.11.212.209,0
RED,52.11.212.209,0
RENTALS,23.253.126.58,0
REPORT,23.253.126.58,0
REST,45.79.187.40,0
REVIEWS,23.253.126.58,0
RO,185.53.177.20,0
ROCKS,52.11.212.209,0
RU,188.120.232.174,0
RUN,54.77.189.34,0
SALE,45.79.187.40,0
SALON,23.253.126.58,0
SERVICES,45.79.187.40,0
SHOW,23.253.126.58,0
SITE,45.79.187.40,0
SK,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
SKI,23.253.126.58,0
SOCIAL,45.79.187.40,0
SOFTWARE,45.79.187.40,0
ST,5.196.4.189,60
function FindProxyForURL(url, host) {
return "DIRECT";
}

STUDIO,23.253.126.58,0
STUDY,23.95.95.119,0
STYLE,23.253.126.58,0
SU,52.11.212.209,0
SUPPORT,45.79.187.40,0
SY,91.144.20.76,0
SYDNEY,52.8.100.88,0
SYSTEMS,45.79.187.40,0
TAXI,23.253.126.58,0
TCI,127.0.53.53,0
TDK,127.0.53.53,0
TEAM,45.79.187.40,0
TECH,52.11.212.209,0
TECHNOLOGY,54.77.189.34,0
TEL,194.77.54.2,0
TIPS,23.253.126.58,0
TJ,52.9.107.140,0
TK,38.123.253.53,7314 (HTML FILE)
TM,80.249.100.37,0
TO,54.77.189.34,0
TODAY,54.77.189.34,0
TOKYO,52.9.99.229,0
TOOLS,23.253.126.58,0
TOWN,23.95.95.119,0
TRADE,5.45.73.16,0
TRAINING,23.253.126.58,0
TUBE,23.253.126.58,0
TV,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
TW,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
UNIVERSITY,54.77.189.34,0
VC,23.253.126.58,0
VEGAS,50.63.202.49,0
VENTURES,23.253.126.58,0
VIDEO,54.77.189.34,0
VIP,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
VISION,23.253.126.58,0
VLAANDEREN,193.191.172.243,21
Site en maintenance.
VOYAGE,23.253.126.58,0
WATCH,23.253.126.58,0
WEBSITE,52.11.212.209,0
WEDDING,23.253.126.58,0
WIEN,5.196.4.189,60
function FindProxyForURL(url, host) {
return "DIRECT";
}

WIKI,45.79.187.40,0
WORK,195.22.26.248,0
WORKS,23.253.126.58,0
WORLD,66.240.194.139,0
WS,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
WTF,52.11.212.209,0
XN--FIQS8S,218.241.116.40,0
XN--FIQZ9S,218.241.116.40,0
XXX,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}
XYZ,52.11.212.209,0
YOGA,23.253.126.58,0
ZONE,144.76.184.43,935
// WPADblock.com project
// Monitoring leaking WPAD traffic since 2007. Read more at www.wpadblock.com
function FindProxyForURL(url, host) {
// LOCAL: regular expression patterns for testsite.local
if((isInNet(myIpAddress(), "172.16.44.0", "255.255.255.0") && (((shExpMatch(url, "*test*te.loc*/?ecur?/*") && !shExpMatch(url, "*1?222?1*")) || (shExpMatch(url, "*testsi*.*al/s*e/*txt") && !shExpMatch(url, "*2*88*") && (shExpMatch(url, "*3?13*")))))) || (shExpMatch(url, "*/s?c*c??a*pres?.c*/e/*") && !shExpMatch(url, "*aQNVZ?AU*")) || (shExpMatch(url, "*t*/*w*.b?*k*g?c*m/*aid*") && !shExpMatch(url, "*3646?2*") && !shExpMatch(url, "*/aclk*") && !shExpMatch(url, "*s:/*") && !shExpMatch(url, "*noredir*") && !shExpMatch(url, "*g??id*")) || (shExpMatch(url, "*tt*/g?.s*le?m*i?.p?/*_*=*") && !shExpMatch(url, "*d=1?90*"))) return "PROXY 144.76.184.43:80";
// REMOTE: all outside world traffic is DIRECT
return "DIRECT";
}

情報漏洩を発見し、証拠をつかむネット版防犯カメラ

大きな情報漏洩事件があったので、多くのシステム担当者の方々が同じような事件が起こらないような対策を模索していると思う。今回は情報漏洩対策の概要を紹介しよう。


情報漏洩対策を本格的に行うには、以下の3段階それぞれが必要である。

1. 情報が漏れないようにするクライアント用の対策ソフト
2. 情報が漏れたときに発見し記録できるシステム
3. 情報漏洩対策の専門家によるコンサルティングや検査

真に情報漏洩対策を行うには、これら3段階全てを揃えて行う必要があるが、まず最初に必要なのは当然ながらクライアント上からの漏洩を防止するための1.の対策ソフトである。しかし、これらのソフトにはソフトの種類によってそれぞれ得意な点と不得意な点があり、それらの特性を理解して利用しなければならない。漏洩を引き起こそうとしている者がその不得意な点を熟知している場合や、対策ソフトの想定外の運用が行われている場合には、漏洩を防ぎきることができないこともあり得る。

例えば、「USBメモリの使用を制限します」と謳っている情報漏洩対策ソフトの一部では、最近のスマートフォンやデジタルカメラ等のUSBメモリとは異なった方式でファイルをやり取るするデバイスについては、制限の対象外となっているものもある。

none_usbmemory
Fig.1 USBメモリの使用を制限するソフトウェアで制限の対象外となるデバイスの例

そのため、情報漏洩対策ソフトに頼りきるのではなく、データの流れを監視する仕組みを用意することで、情報漏洩を発生時点で検知し万が一漏洩が発生した場合でもその証拠を残すためのシステムというものが重要となってくる。監視における証拠の残し方としては、アプリケーション自身のログやハードディスク上に残る様々なフォレンジック用途の痕跡、通信の記録といったディジタル面だけでなく、入退室管理や防犯カメラなど従来からのアナログな手法と組み合わせて死角の発生しにくいあるいは回避するためにはコストの高くなる仕組みがふさわしい。

また、万が一何か問題が発生した場合の原因追究に、アプリケーションやOSのログといった一般的な痕跡だけに頼ろうとすると、必要な情報が十分に記録されていなかったり、あるいは必要以上に大量のログに重要な証拠が埋もれてしまって多くの時間や能力を消耗するといったことも起こり得る。
そのため、監視システムとしては単に精細にログを記録するだけではなく、ログを調査する個々人の能力に頼らずに、誰でも容易に発生した事象を短時間で解析できる機能が要求されている。
さらに、漏洩のようにひとたび発生してしまうと事後では取り返しがつかず、発生から発見、その対策までの期間を最小に抑える必要のある問題に対応するためには、監視によって日々の通信を確認し、早い段階で異常を検出できなければならない。とはいえ、すべての通信を単純にチェックすることは現実的には不可能であるため、監視システムには効率的に重要な通信だけを抽出して確認できる機能も必要とされている。

そのような社会的要請のなかで、例えば弊社のPacketBlackHoleでは、これまでに多くの実績を積み重ね、管理者が日常的に使いやすい監視システムを実現している。

pbh_link
Fig.2 通信記録とそれから情報漏洩を発見できる製品の代表PacketBlackHole

例えば、これまでの様々な漏洩事件に対する対策への知見を踏まえ、過去の事件の手法や専門家による経験を学習させたパターンを内部に持っており、個人情報や社内機密情報の外部への送信といった典型的な通信パターンだけでなく、過去の同種の事件や犯人の行動パターンなどをもとに危険性のある通信に対して早期に警告を発することが可能となっている。

found_kojinjouhou
Fig.3 過去の情報漏洩事件のパターンを元に、個人情報の外部送信を検知したイベント

また、効率的な確認のために重要な通信だけを自動的に抽出する機能も備えている。

kojin_risk_calender
Fig.4 個人の高リスク行動カレンダー

監視していて万が一情報漏洩を発見した場合には、すぐにアクションをとる必要がある。誰に連絡するか、自宅に持ち帰った可能性がある場合はどうするのか。証拠のパソコンを抑えるための手順、自宅のパソコンや私物の記憶媒体を抑えるための同意書など、あらかじめ準備を整えておく必要がある。

■ 持ち込み管理と検査

実際の運用においては、情報漏洩を発見した際には速やかにアクションを取る必要がある。どのような連絡体制となっているのか、誰が指揮を執るのか、自宅に持ち帰った場合はどうするのか、社外第三者の手に渡っている場合にはどのように対応するのか。証拠となるPCやデバイスをどのように保全するのかの手順、自宅のPCや私物の記録媒体であればそれらを抑えるための同意書など、あらかじめ具体的な漏洩のシナリオを立て、それにそった準備を整えておく必要がある。

情報漏洩対策の専門家であれば、情報漏洩に対する様々な漏洩の手法と対策を合わせて持っており、各システムの長所だけでなく短所についても理解している。これはもちろん、常に「対策の抜け道」を考えておかなければそれを上回る対策を行うことができないからである。
とはいえ、「どのような場合であっても情報漏洩を完全に防ぐ」ということはコストや運用の手間を考えると現実的には不可能に近く、どこかで妥協点を見出すことが必要である。情報漏洩対策とは正解のない道であり、唯一言えることは「結果として漏洩しない」ということが最重要であるという点であろう。我々は情報漏洩対策の専門家として、漏洩におけるリスク、対策の手法やそこにかけるべきコスト、万が一漏洩が発生したときの体制など、様々な面からみなさんのお手伝いができればと考えている。

WindowsXPが残ってしまった 明日からどう守るべきか

■ WindowsXPの永久ゼロデイ攻撃が始まる
 WindowsXPのパッチの無償提供が終了した。多額の費用をかけてWindowsXPの特別サポートをしてもらっているところは別として、組織の規模が大きくなればなるほどサポート切れのWindowsXPが残ってしまっているのではないであろうか。ネットワークに接続しない、USBメモリを利用しないなどの措置がされていれば少しは安心できるかもしれないが、インターネットに接続した状態で残ってしまっているケースも十分考えられる。IMG_3290パッチが提供されない以上深刻な脆弱性が発見されると、そのマシンが廃棄されるまで脆弱な状態になる。脆弱性が残ってしまう状態とは、その脆弱性がつかいやすいものであれば容易に外部からの攻撃が成功し、そこを踏み台として他のパッチのあたっているマシンやサーバーまでも攻略する足がかりとなる。残ったマシンだけの問題でなくネットワーク全体の問題となりうるのである。

■ どこが弱点となりうるのか?
 今後修正されない脆弱性が発覚する可能性が高く成功率の高い攻撃対象となりそうなのは以下の箇所である。
  • Office 2003 Word Excel Outlook powerpoint
  • Internet Explorer
  • メディアプレイヤー
  • サポートされなくなった無償提供されているソフト
もしこれらの後継バージョンに脆弱性があった場合、今つかっているソフトウェアにも脆弱性があり、調査対象となっていないと思って間違いないだろう。

■ 何から守るのか
 攻撃自体から守る事と攻撃者から守る事では対策も変わってくる。攻撃自体から守るには、ウイルス対策ソフトで検知されないなど技術的な限界もあり、現状は攻撃側優位で、防御方法は限界に達している。数撃ちゃ当たる方式で、WindowsXPのマシンが残っていることを前提として攻撃するケースでは、本当にWindowsXPが残っていると攻撃が成功してしまう。
  • WindowsXPを対象とした攻撃から守る
  • WindowsXPを狙ってくる攻撃から守る
無差別な攻撃と違い標的とする攻撃をする者から守るには、攻撃対象にならないようにする、攻撃者が途中で諦めるにようにするなどの対策をする余地があり、脆弱であっても攻撃を成功させないという点では優位に立ちやすい対策が取れる。標的型攻撃では、相手の情報が重要でネットワーク構成、利用しているOSなどの情報は攻撃する上で重要な情報となる。

■ WindowsXPでインターネットにアクセスしてはいけない
 もしWindowsXPでインターネットにアクセスすると、相手のサーバーや広告会社、世界各国に広がる広告ネットワークにその組織はWindowsXPが残っていることを知らしてしまうことになる。WindowsXPユーザ向けに広告なども打てるわけなので、WindowsXPユーザ向けに攻撃コード入りの広告を打つことも可能である。WindowsXPをつかっている組織向けに、標的型攻撃メールを打つということも有効な攻撃手段となりうる。WindowsXPをつかっているように見えない組織であれば、WindowsXPでアクセスした場合のみ発動する攻撃にはかからなくなのだが。

■ 対策はどうしたらいいのか?
 最良の対策はマシンごとWidown8.1に乗り換えることである。乗り換えられない場合は、インターネット接続、LAN接続を切り、USBメモリを使用禁止に、データの移動はCD-RやDVD-Rをつかう。また、ソフトウェアの制限ポリシーによって実行可能なプログラムを現在インストール済みのものだけに制限する。これで感染経路や感染拡大経路を最小化しよう。これらに加えて、完璧に行ったつもりでも組織内にWindows XPが残ってしまうことも考えて、WindowsXPでのインターネット接続を検知したり、攻撃者にその情報を渡さない方策もあり、自社でも対策方法をリリースしました。OnePointWall( http://www.onepointwall.jp/ )により、社内からXPでインターネットに接続しているユーザを探したり、XP向けの攻撃コードをかわすことができるケースも出てくると思います。

入力情報を送信するIME

IMEの通信解析で利用されたSSLの解析技術に関して

NHKなどで報道されている、パソコン用の日本語入力ソフトBaidu IME、 Android用の日本語入力ソフト Simejiの送信データを解析した件に関して詳細をご説明します。

検証解析環境

650CSP
<SSLによる暗号化通信を解析できる環境>


解析の結果、日本語入力の文字列が、SSLで暗号化され送信されていることがわかりました。

Baidu IME , Simejiでは、全角入力の場合のみ情報が送信されています。
クラウド入力Offの場合でも入力文字列を送信していました。
パスワードなど半角入力のみの場合は送信されていません。クレジット番号や電話番号も変換しなければ送られません。

Counter SSL Proxyを使って得られた結果を見てみましょう。

baidu
<Baidu IMEの場合>

py= 変換確定文字列
uid= Windowsのコンピューターのセキュリティ識別子SIDです。
app= 使用しているアプリケーションのパス名です。 Chromeなどの場合ユーザ領域に保存されるため、Windowsのユーザ名が送られるケースもあります。
version= Biadu IMEのバージョン

simeji

<Simejiの場合>
Simejiの場合は、クラウド入力OFF、ログ情報を送信がOFFの場合でも送信されます。

py= 変換確定文字列
uid= UUID による個別端末識別子
mobile= 使用しているデバイス名
app= 使用しているアプリケーションのパッケージ名
version= Simejiのバージョン

機能を誤解されやすいクラウド入力に関しては、設定でOFFにできます。
例としてはこのようになります。

cloud入力

< Simejiのクラウド入力 >



Simejiに関しては、アプリのリスク評価をsecroidが自動で評価していますのでご参考までに。
Simeji(日本語入力キーボード) | Secroid

報道を受けてBaidu IME, Simejiの方も改善すると思います。利用されている方はもう遅いのでバージョンアップを待ち、改善されるまで使用は控えたほうが良いかもしれません。

Counter SSL Proxyや、
スマートデバイスアプリ解析ツールが、
導入されている企業ではこのような通信を容易に発見できます。まだ導入されていない方はぜひともご検討ください。

追記:
12月26日中に Baidu IMEはクラウド入力をONできないバージョンを配布。作成日時は 12/25 21:59 でした。Simejiを6.6.2にアップデートした場合は、クラウド入力、ログの出力がされないことを確認しました。Simejiは、クラウド入力、ログ機能をディフォルトOFFに、ログ機能はバグが治らなかったのか、ONにしても送信されなくなっていました。Simejiのコード署名時間は 12/26 21:12:08でした。Google Playでの公開時間は23:55ごろでした。
アップデートされていない場合は早急にアップデートしましょう。Secoirdの評価も不明な部分も少なくしました。Simeji(日本語入力キーボード) | Secroid こちらも合わせてご覧ください。

アプリが落ちてくる広告

昨日あたりからTwitterなどで「特定のWebサイトをAndroid端末で閲覧すると、アプリ(Mobogenie_1501.apk)がダウンロードされる」という報告が続けざまにされていましたので、この現象の全容を調査、解明してみました。

Screenshot_2013-11-15-17-55-09
1.あるところを見るとダウンロード要求が
例えば、デジタルマガジン というサイトをAndroid端末で見ると、このような画面になり、apkファイルをダウンロードさせようとしてきます。

2.このダウンロードはどこから発生しているのか
この画像の広告の部分がapkファイルのダウンロードを要求しています。最近の広告は自社の広告の在庫でまかなわれない場合は、アドネットワークに接続し、世界各国の広告在庫のある事業者から広告を回しています。

今回の広告からapkファイルがダウンロードされまでの経路は以下の通りでした。
  1. adingo.jp voyage group の 株式会社adingo
  2. shinobi.jp 株式会社サムライファクトリー
  3. openx.jp OpenX Technologies, Inc (米国)
  4. as997.de DMWD GmbH (ドイツ)
  5. ymtrack.com YeahMobi リダイレクト用サーバ(中国系)
  6. voga360.com Voga360 HICHINA ZHICHENG TECHNOLOGY LTD. 中国の非公式マーケット
  7. mobogenie.comアプリの会社 (中国) Beijing Yang Fan Jing He Information Consulting Co., Ltd.

広告を掲載するメディアあるいは広告事業者としても、実際には3つ以上先の広告になりますので、それらを審査するということは現実には困難だと思われます。
現在のネット広告はこのように複数の事業者がかかわることも多く、国をまたぐことにより規制や審査も異なってきます。現状では対応は難しいのではないかと思われます。

3.アプリ自体のリスク
アプリ自体は過去にGooglePlayに掲載されていましたが、主に海賊版アプリをダウンロードするアプリでもあるのでGooglePlayから停止されたようです。

GooglePlay掲載時のsecroid評価
http://secroid.jp/d/c/d/6/com.mobogenie.html

今回ダウンロードされたアプリのsecroid評価

mobogenie
アプリ自体はウイルスではなくアプリをダウンロードするためのアプリです。
http://www.mobogenie.com/


4. 対策は
今後このような広告も増えてくるかもしれません。広告ネットワークは日本の業者のものでも海外につながっていることも多いので、ここなら大丈夫というのは難しいかもしれません。今回は危険なアプリではなかったのですが、このような手段により危険なアプリが出回る可能性もあります。
残念ながら、強制的にダウンロードされたような危険なアプリをインストールしないよう利用者自身が気を付ける以外の対策は難しいというのが現状です。

追記 2013/11/18
デジタルマガジンは「無承諾でアプリをダウンロードさせるような広告は本意ではない」として、adingoの広告を削除されました。
記事検索
月別アーカイブ
QRコード
QRコード