This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

UE domínio abuso, cortesia do exploit kit Blackhole

Filed Under: Featured, Malware, SophosLabs, Vulnerability

EU. Image from Shutterstock Acompanhamento de atividade maliciosa é uma parte crucial do que SophosLabs fazer cada dia.

Rastreamento das ameaças nos dá visibilidade de como os computadores estão sendo infectado e em que as ameaças estão realmente vindo.

Os dados coletados são usados ​​para conduzir algumas das tecnologias de filtragem de reputação que os nossos produtos oferecem, a fim de manter os clientes Sophos é seguro.

Os dados também permite que nos permite detectar novos truques, técnicas ou táticas sendo usadas pelos atacantes. Por exemplo, temos observado recentemente uma série de. UE abuso de registro de domínios.

Vários domínios maliciosos. Ue foram registrados em novembro que estão sendo usados ​​para infectar computadores com malware através do exploit kit Blackhole . Aqui estão alguns exemplos:

owzshm.eu
mpxuth.eu
ngpsjy.eu
wlwhhz.eu
jhzopj.eu
jqwwgm.eu
pmgugq.eu
jkiwhy.eu
nrxpxq.eu
vjtjpy.eu
xzjvhs.eu
xipuww.eu
kngipu.eu
ptkqzo.eu
pyrhox.eu

Os domínios resolver tudo para o mesmo endereço IP, um servidor localizado na República Checa.

Eles são de curta duração, os nomes só resolver para o servidor de destino por um breve período antes de os atacantes passar para o próximo.

Este tipo de tática é muito comum, usado por muitas ameaças em suas tentativas de escapar filtragem de segurança.

Normalmente, no entanto, é um outro TLDs ue. Que são abusadas.

Cavando um pouco mais na informação WHOIS para estes registros revela algumas observações interessantes. Uma conexão finlandesa de facto, com base nos dados fornecidos registando.

Podemos voltar mais alguns meses, e ver uma série similar de atividade, mais uma vez utilizado para Blackhole hospedagem, mas na. Em domínios.

zjmnwv.in
yyssyr.in
wkhmyk.in
hwhjgj.in

Como você pode ver, os nomes de domínio siga o mesmo de 6 caracteres, padrão aparentemente aleatório.

Olhando para as informações WHOIS para alguns destes novamente joga-se a nossa ligação finlandês!

E adivinha o que? Quando ativo, estes. Resolvidos em nomes de domínio para o endereço IP mesmo como acima!

E o que dizer desse endereço IP? Ela tem algo de uma longa história de atividade questionável, estendendo-se por vários meses. Atualmente, abriga mais de 100 domínios, cuja finalidade varia de gateways pornográficos site (referenciado no spam) por meio de explorar sites.

Este episódio levanta uma questão importante. Há algo mais que registradores poderia ou deveria ser feito para evitar que os bandidos que abusam de seus serviços?

Algumas das técnicas mesmos que usamos para juntar os pontos entre os dados, ligando ataques e destacando a atividade maliciosa poderia ser muito útil para os registradores que tentam bloquear a atividade maliciosa antes.

A história nos diz que o nome da autoridade europeia de domínio, EURid , não são estranhos para uma ação decisiva quando se trata de proteger a reputação do TLD.

Eu relatei a onda atual de abuso para as pessoas apropriadas, assim que o tempo vai dizer como efetivamente eles podem esnobar essa atividade.

. UE domínio imagem do Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Fraser is one of the Principal Virus Researchers in SophosLabs. He has been working for Sophos since 2006, and his main interest is in web related threats.