This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Eu abuso, cortesía del paquete de exploits Blackhole

Filed Under: Featured, Malware, SophosLabs, Vulnerability

EU. Image from Shutterstock El seguimiento de la actividad maliciosa es una parte fundamental de lo que SophosLabs hacer cada día.

El seguimiento de las amenazas que nos da mayor visibilidad sobre cómo las computadoras están infectadas y donde las amenazas son en realidad viene.

Los datos recopilados se utiliza para impulsar algunas de las tecnologías de filtrado de reputación que nuestros productos proporcionan con el fin de mantener a los clientes de Sophos seguro.

Los datos también permite nos permite descubrir nuevos trucos, técnicas o tácticas utilizados por los atacantes. Por ejemplo, recientemente hemos observado una avalancha de. Eu abuso de dominio de registro.

Numerosos eu maliciosos. Han registrado durante noviembre, que se utilizan para infectar PCs con malware a través del exploit kit Blackhole . Aquí están algunos ejemplos:

owzshm.eu
mpxuth.eu
ngpsjy.eu
wlwhhz.eu
jhzopj.eu
jqwwgm.eu
pmgugq.eu
jkiwhy.eu
nrxpxq.eu
vjtjpy.eu
xzjvhs.eu
xipuww.eu
kngipu.eu
ptkqzo.eu
pyrhox.eu

Los dominios resuelven todas con la misma dirección IP, un servidor ubicado en la República Checa.

Ellos son de corta duración, los nombres sólo resolverán en el servidor de destino durante un breve período antes de que los atacantes pasar a la siguiente.

Este tipo de táctica es muy común, utilizado por muchas amenazas en su intento de evadir el filtrado de seguridad.

Normalmente, sin embargo, es un TLD otro eu. Que son abusados.

Cavar un poco más en la información WHOIS para estos registros revela algunas observaciones interesantes. Una conexión finlandés de hecho, sobre la base de los detalles proporcionados registrante.

Podemos remontarnos unos cuantos meses más, y ver una serie similar de actividad, vuelvan a utilizarse para Blackhole hosting, pero en IN. Dominios.

zjmnwv.in
yyssyr.in
wkhmyk.in
hwhjgj.in

Como se puede ver, los nombres de dominio siguen la misma de 6 caracteres, patrón aparentemente aleatorio.

En cuanto a la información WHOIS para algunos de éstos a su vez arroja nuestra conexión finlandés!

Y ¿adivinen qué? Cuando está activo, estos. EN nombres de dominio resuelve en la dirección IP mismo que el anterior!

¿Y qué de esta dirección IP? Tiene algo de una larga historia de actividad cuestionable, que se extiende durante muchos meses. En la actualidad alberga a más de 100 dominios, cuyo propósito va de portales web de porno (referenciados en el spam) a través de explotar sitios.

Este episodio plantea una pregunta importante. ¿Hay algo más que los Registradores pueden o deben hacer para prevenir los malos abusando de sus servicios?

Algunas de las mismas técnicas que usamos para unir los puntos entre los datos, vinculando los ataques y poner de relieve la actividad maliciosa podría ser muy útil para los Registradores que intentan bloquear las actividades maliciosas antes.

La historia nos dice que la autoridad de nombres de dominio europeo, EurID , no son ajenos a la acción decisiva cuando se trata de proteger la reputación de la TLD.

Me han informado de la actual ola de abusos a las personas adecuadas, por lo que el tiempo dirá cuán eficazmente se puede desairar a cabo esta actividad.

. Eu imagen de Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Fraser is one of the Principal Virus Researchers in SophosLabs. He has been working for Sophos since 2006, and his main interest is in web related threats.