This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Злоупотребление. Областей ЕС вредоносных программ банды продолжается, несмотря на регистратора уведомления

Filed Under: Featured, Malware, SophosLabs, Vulnerability

Флаг Евросоюза. Изображение из Shutterstock Пару недель назад я писал о том, как мы видим был скачок числа вредоносных. регистрации домена ЕС , с целью заражения пользователей с помощью попутных загрузок использованием эксплойта комплект.

В этом посте, я поднял два важных вопроса:

  • Есть более, что регистраторы могут или должны делать, чтобы предотвратить плохие парни злоупотребляют своими услугами?
  • Насколько эффективно, как только соответствующие люди сообщили о злоупотреблениях, будет Деятельность быть оскорбил вне дома?

Мы также получили несколько вопросов о том, как много злоупотреблений мы видели на. ЕС сайтах.

В этом посте я буду взглянуть на последние данные и попытаться ответить на эти вопросы.

Давайте начнем с каким злоупотреблением мы исторически были видеть на. Сайты ЕС.

Приведенный ниже график показывает ежемесячное количество вредоносных программ, которые мы заблокировали на оборудовании клиента веб-за прошедший год.

Он показывает достаточно четко всплеск активности в ноябре 2012 года (соответствующий диск-атаками описано в предыдущей статье ).

Угрозы размещенные на. ЕС TLD заблокирован техника Sophos Web

Когда я сообщил об этом злоупотребления в Реестр, я был достаточно осторожен, чтобы описать, как недолго ЕС вредоносных доменов.:

Из того, что я видел до сих пор, эти доменные имена являются лишь кратко "живьем" в терминах DNS разрешение, прежде чем перейти к следующему имени хоста.

Новые домены подвергаются насилию каждый день, так что мне было бы интересно с вами, если вы находитесь в состоянии использовать характеристики выше регистраций обнаружить новую вредоносную те, которые вы, скорее всего, увидеть в ближайшие дни.

Как отмечалось ранее, было несколько любопытных финских связи между всеми Регистрант детали используются. Я сделал забудьте включить эти данные (с примерами) в моем жалобу, а также. Не стоит забывать и тот факт, что домены, кажется, всегда быть 6 символов в длину.

Так что, в целом, я считаю, было достаточно информации, чтобы ввести в действие некоторые проверки, чтобы пресечь эту деятельность в зародыше. Или, по крайней мере, заставит злоумышленников изменить свои методы работы.

В ответ я после злоупотребления доклад к счастью, от человека, а не автоматический ответ.

Тем не менее, это продолжалось недолго, и не убедит меня, что они собираются сделать нечто большее, чем черный список примере областей я предоставил им (все из которых уже были неактивными и безвредными к тому времени).

Глядя на последние данные, кажется, поддерживает этот страх.

Мало что изменилось. Ежедневный объем этого ( Blackhole-производные ?) "Cool" подвиг комплект, кажется, мало изменилась со времени моего жалобу.

Суточный объем комплекта подвиг CoolEK заблокированы на конечных точках клиентов

Peeking на информацию WHOIS в течение нескольких последних областей, мы видим, финский связи по-прежнему используется, как и адрес электронной почты Yahoo!.

WHOIS регистрационные данные

WHOIS регистрационные данные

"Что вы делаете, чтобы помочь сорвать атаки и получить плохие вещи в автономный режим?" Речь идет SophosLabs, что персонал должен поле, регулярно.

Существует не серебряная пуля, но улучшение обмена информацией между организациями, несомненно, является важной частью того, что должно произойти.

Однако, как этот случай иллюстрирует, правильное понимание информации и ее использование в некоторых осмысленно и необходимо.

Я свяжусь снова домена Robot, Германия основе регистратора, которая была использована в данном случае, и попытаться объяснить более ясно о том, что происходит. Надеюсь, то, можно что-то сделать, чтобы помешать атакам.

Здесь надеется.

Флаг ЕС изображение от Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Fraser is one of the Principal Virus Researchers in SophosLabs. He has been working for Sophos since 2006, and his main interest is in web related threats.