Антивирусная компания Sophos предупреждает, что в ноябре 2012 года был зарегистрирован ряд доменных имён в европейской доменной зоне. Все они использовались для организации командных серверов и связи с компьютерами, заражёнными с помощью эксплойт-пака Blackhole.
owzshm.eu mpxuth.eu ngpsjy.eu wlwhhz.eu jhzopj.eu jqwwgm.eu pmgugq.eu jkiwhy.eu nrxpxq.eu vjtjpy.eu xzjvhs.eu xipuww.eu kngipu.eu ptkqzo.eu pyrhox.eu
Все эти домены резолвятся на один IP-адрес, который соответствует серверу в Чехии.
Каждый домен живёт очень короткое время, прежде чем сеть начинает использовать следующий. Эта тактика вполне обычна для функционирования вредоносных программ, но обычно злоумышленники используют иные TLDs, а не .EU
Аналитики Sophos попытались выявить закономерность и кое-что нашли. В деталях регистрации указано использование финского языка.
Аналитики подняли данные по аналогичной массовой регистрации доменов в зоне .IN для использования Blackhole полгода назад — и тоже обнаружили финский след.
И что самое интересное, при соединении эти домены связывались с тем же самым IP-адресом в Чехии.
Специалисты Sophos уже выслали всю собранную информацию компетентным специалистам, которые помогут прекратить вредоносную активность и выявить личность преступника.
