Антивирусная компания Sophos предупреждает, что в ноябре 2012 года был зарегистрирован ряд доменных имён в европейской доменной зоне. Все они использовались для организации командных серверов и связи с компьютерами, заражёнными с помощью эксплойт-пака Blackhole.

owzshm.eu
mpxuth.eu
ngpsjy.eu
wlwhhz.eu
jhzopj.eu
jqwwgm.eu
pmgugq.eu
jkiwhy.eu
nrxpxq.eu
vjtjpy.eu
xzjvhs.eu
xipuww.eu
kngipu.eu
ptkqzo.eu
pyrhox.eu

Все эти домены резолвятся на один IP-адрес, который соответствует серверу в Чехии.

Каждый домен живёт очень короткое время, прежде чем сеть начинает использовать следующий. Эта тактика вполне обычна для функционирования вредоносных программ, но обычно злоумышленники используют иные TLDs, а не .EU

Аналитики Sophos попытались выявить закономерность и кое-что нашли. В деталях регистрации указано использование финского языка.

Аналитики подняли данные по аналогичной массовой регистрации доменов в зоне .IN для использования Blackhole полгода назад — и тоже обнаружили финский след.

И что самое интересное, при соединении эти домены связывались с тем же самым IP-адресом в Чехии.

Специалисты Sophos уже выслали всю собранную информацию компетентным специалистам, которые помогут прекратить вредоносную активность и выявить личность преступника.



Оставить мнение