Массовая регистрация доменов .EU для использования Blackhole

Discussion in 'Мировые новости. Обсуждения.' started by Solitude, 24 Nov 2012.

  1. Solitude

    Solitude Member

    Joined:
    29 Aug 2011
    Messages:
    445
    Likes Received:
    23
    Reputations:
    1
    Массовая регистрация доменов .EU для использования Blackhole

    Антивирусная компания Sophos предупреждает, что в ноябре 2012 года был зарегистрирован ряд доменных имён в европейской доменной зоне. Все они использовались для организации командных серверов и связи с компьютерами, заражёнными с помощью эксплойт-пака Blackhole.
    owzshm.eu
    mpxuth.eu
    ngpsjy.eu
    wlwhhz.eu
    jhzopj.eu
    jqwwgm.eu
    pmgugq.eu
    jkiwhy.eu
    nrxpxq.eu
    vjtjpy.eu
    xzjvhs.eu
    xipuww.eu
    kngipu.eu
    ptkqzo.eu
    pyrhox.eu

    Все эти домены резолвятся на один IP-адрес, который соответствует серверу в Чехии.

    Каждый домен живёт очень короткое время, прежде чем сеть начинает использовать следующий. Эта тактика вполне обычна для функционирования вредоносных программ, но обычно злоумышленники используют иные TLDs, а не .EU

    Аналитики Sophos попытались выявить закономерность и кое-что нашли. В деталях регистрации указано использование финского языка.

    [​IMG]
    [​IMG]

    Аналитики подняли данные по аналогичной массовой регистрации доменов в зоне .IN для использования Blackhole полгода назад — и тоже обнаружили финский след.

    [​IMG]

    И что самое интересное, при соединении эти домены связывались с тем же самым IP-адресом в Чехии.

    Специалисты Sophos уже выслали всю собранную информацию компетентным специалистам, которые помогут прекратить вредоносную активность и выявить личность преступника.

    23.11.2012
    http://www.xakep.ru/post/59693/
     
    #1 Solitude, 24 Nov 2012
(You must log in or sign up to post here.)