假防毒軟體常用的十個網域註冊商

- 訂閱
- 訂閱此網誌
- 分類
- Security News (11)
- 碩班課程 (6)
- 統計資訊
- 到訪次數 1099047
  
  訂閱次數 1
  
  文章總數 1476
  
  今日文章 0
  
  回應總數 4
  
  今日回應 0
- 我教的課
- 我修的課
- 逐月回顧
- 2011-11 (30)
- 2011-10 (62)
- 2011-09 (43)
- 2011-08 (46)
- 2011-07 (56)
- 2011-06 (52)
- 2011-05 (45)
- 2011-04 (62)
- 2011-03 (61)
- 2011-02 (31)
- 2011-01 (50)
- 2010-12 (63)
- 2010-11 (62)
- 2010-10 (48)
- 2010-09 (57)
- 2010-08 (58)
- 2010-07 (55)
- 2010-06 (58)
- 2010-05 (57)
- 2010-04 (29)
- 2010-03 (32)
- 2010-02 (33)
- 2010-01 (54)
- 2009-12 (58)
- 2009-11 (42)
- 2009-10 (23)
- 2009-09 (23)
- 2009-08 (35)
- 2009-07 (9)
- 2009-06 (4)
- 2009-05 (5)
- 2009-04 (20)
- 2009-03 (18)
- 2009-02 (8)
- 2009-01 (5)
- 2008-12 (17)
- 2008-11 (8)
- 2008-10 (8)
- 2008-09 (8)
- 2008-08 (10)
- 2008-07 (6)
- 2008-06 (6)
- 2008-05 (7)
- 2008-04 (8)
- 2008-03 (3)
- 2006-09 (1)
- 帳號:
- 密碼:
- <%INPUT_CAPTCHA%>
- <%IMG_CAPTCHA%>
- 最新回應
- [C#.NET][VB.NET] ???? TextBox / ComboBox ?????? jolvecelo 2013-03-11 10:25:20
- [C#.NET][VB.NET] ???? TextBox / ComboBox ?????? jolvecelo 2013-03-10 13:23:37
- [C#.NET][VB.NET] ???? TextBox / ComboBox ?????? IntetsUndenna 2013-03-09 09:39:05
- Zeus 2.0.8.9 版與幽靈版控制台 root 2012-08-16 22:11:07
- ???????Backdoor.Prosti?????? SamAtterm 2011-05-18 21:03:09
- 最高人氣
- SQL 資料型態比較 (7128)
- 不需漏洞與病毒 PDF也可散播惡意程式 (6946)
- 以jsp解決資料庫編碼問題 (6828)
- MySQL查詢速度測試 (6686)
- 什麼是雲端運算? 跟你我生活有何關係？(Q 版張明正為你解說） (6679)
- 中國蘇珊大嬸尚未催生，”中國達人秀”電子信箱遭入侵 (6578)
- 利用transaction造成死結 (6487)
- MySQL操作說明 (6162)
- Oracle安裝說明 (5837)
- [C#]NPOI匯出Excel遇到資料換行的問題 (720)
- 最多回應
- [C#.NET][VB.NET] 如何設定 TextBox / ComboBox 自動完成輸入 (3)
- Zeus 2.0.8.9 版與幽靈版控制台 (1)
- 時鐘

假防毒軟體常用的十個網域註冊商

原文連結：http://domynews.blog.ithome.com.tw/post/1252/101288

為了從惡意攻擊中賺錢，殭屍網路/傀儡網路 Botnet營運商，垃圾郵件發送者，駭客和那些黑帽Black_Hat SEO 搜尋引擎毒化的幕後黑手們成立了假防毒軟體FAKEAV 集團跟帳戶。這些集團提供網址用來秀出假防毒軟體FAKEAV 並試圖嚇唬用戶去安裝流氓防毒軟體。如果用戶購買了這些假軟體，假防毒軟體FAKEAV 聯盟的同夥們(例如殭屍網路/傀儡網路 Botnet管理者)就可以分到一杯羹。

這篇文章分析了一家假防毒軟體FAKEAV 的運作模式，這集團在過去一直支持殭屍網路KOOBFACE及一個活躍的黑帽搜尋引擎最佳化(Blackhat SEO)的運作。

大部分的網域在被大量散播的前一天才被註冊,甚至是在散播的當天才註冊

從2011年3月7日到4月19日，趨勢科技收集了890個從這假防毒軟體FAKEAV 集團提供給它下游的網域。這個數字包括了.com，.org 和 .net網域但不包括像co.cc 這類也在收集範圍內的網域。我們發現大部分的網域在被大量散播的前一天才被註冊。有相當數量的網域是在散播的當天才註冊的。

30個網域在註冊前就開始散播（3.3 %）
246個網域在註冊同一天散播（27.6 %）
588個網域在註冊一天後散播（66.0 %）
13個網域在註冊兩天後散播（1.4 %）
1個網域在註冊三天後散播（0.1 %）
3個網域在註冊七天後散播（0.3 %）

有趣的是，一些網域在註冊前就開始散播。這一發現加上增量網域（相同的網域名稱只是結尾加上遞增的數字），表示假防毒軟體FAKEAV集團有系統會自動註冊網域。他們平均每天註冊20個網域。

不過，註冊網域的行為也是會有變動的。例如3月27日註冊了44個網域，但是4月17日只有註冊一個。一般來說，這集團每天會向兩個或三個不同的註冊商來註冊新網域。然而在3月31日，他們卻在七個不同的註冊商註冊。

假防毒軟體FAKEAV 常用網路註冊商前十名

NETWORK SOLUTIONS LLC	391
TUCOWS INC.	107
GODADDY.COM INC.	85
DIRECTNIC LTD.	74
WILD WEST DOMAINS INC.	55
NAMESECURE LLC	40
ENOM INC.	30
NETWORK SOLUTIONS LLC	28
FASTDOMAIN INC.	20
ABOVE.COM PTY. LTD.	17

他們還用127個不同的電子郵件位址來註冊網域。然而當電子郵件位址的隱私保護被解除時，我們發現攻擊者使用39個雅虎信箱來註冊559個網域。平均每個電子郵件位址用來註冊14個網域。最高紀錄是一個電子郵件位址註冊了44個網域，最少是只註冊一個。通常同個電子郵件位址在同一天內只會用來註冊一個網域，不會重複。這假防毒軟體集團會利用不同的網域註冊商和多個不同的電子郵件地址來減少被發現的風險。

假防毒軟體FAKEAV 假防毒軟體的變種散播會透過集團分工模式，也就是統一提供惡意網址和惡意程式，然後下游透過自己的方法去散播這些惡意網址。這些集團有能力用不同的電子郵件位址大量註冊網域，同時也有辦法迅速的散播出去。因此，鎖定源頭的假防毒軟體FAKEAV 網域，而不僅僅是他們用來散播的殭屍網路/傀儡網路 Botnet是打擊此一威脅很重要的環節。