Домен .info стал клоном .cc?

В апреле в поддоменах .co.cc и .cz.cc появилось большое количество веб-сайтов, распространяющих вредоносное ПО. Вслед за необычно большим количеством DNS-регистраций в доменах .co.cc и .cz.cc наблюдался всплеск распространения фальшивых антивирусов для Apple. Позже регистрация DNS-имен, как и прогнозировалось, привела к всплеску в распространении фальшивых антивирусов для Mac.

Однако, распространение фальшивых антивирусов с начала года неуклонно падало. В последние шесть месяцев произошло несколько связанных с этим событий. Blackhole-операторы мигрировали в поддомены .info, а за ними последовали операторы других вредоносных сайтов. Становится ли домен .info «клоном».cc?

Итак, как же выглядел этот переход? Давайте посмотрим на то, что происходило в начале года. Регистраторы доменов .co.cc и .cz.cc предлагают бесплатную регистрацию в системе DNS и дешевый, а то и бесплатный хостинг. Распространители вредоносного ПО воспользовались предлагаемыми бесплатными ресурсами и использовали эти URL-адреса для хостинга пакета эксплойтов Blackhole, используемого для автоматизации загрузки фальшивых антивирусов и других зловредов. Эксплойты Java стали самыми эффективными и наиболее популярными в пакете Blackhole; вслед за ними идут эксплойты, направленные на уязвимости в Adobe Reader и в протоколе Microsoft HCP. Для привлечения трафика к этим пакетам использовались различные методы: искажение результатов поиска в Google Image, заражение легитимных сайтов, перенаправление браузеров на сайты, содержащие эксплойты, при помощи внедренных iframe и img src, и, наконец, успешная реклама вредоносных ресурсов на страницах крупных почтовых сервисов.

Однако это не могло долго продолжаться. В Google заметили, что результаты поиска Google Image и других поисковых сервисов подвергаются значительным искажениям со стороны распространителей зловредов, ведущих атаки с поддоменов .cc, и в июле полностью исключили из индексации .co.cc и .cz.cc. В августе был арестован основатель системы платежей Chronopay, подозреваемый в распространении фальшивых антивирусов; все операции, имеющие отношение к данной афере, были заблокированы. После того, как эксперты «Лаборатории Касперского» взяли под контроль ботнет Hlux, Microsoft привлекла к суду владельца/оператора доменов .cc — ботнет частично управлялся из доменного пространства .cc. В результате всего этого крысы побежали с тонущего корабля — судя по всему, в доменное пространство .info. В США и России наблюдались десятки тысяч обращений к Trojan.JS.Darduk, и почти половина из них хостилась на доменах в зоне .info (как Darduk детектируется основная страница новейших версий пакета Blackhole). Увеличение количества обращений к Trojan.JS.Darduk началось 28-го октября и не снижается по сей день…

Сотни тысяч обращений к вредоносным URL-сайтам, расположенным на .info,не просто перенаправляются с каких-либо порносайтов, что было бы привычно. На этот раз в список попали более легитимные сайты.

Какие же меры можно принять? Если вы системный администратор, можно задаться вопросом — нужно ли разрешать вашим пользователям обращаться к сайтам .info? Если в вашей сети пользуются старыми версиями Java, Adobe, или у всех ваших пользователей разрешено выполнение Flash в браузере, нужен ли им доступ к доменам .info?

Домены .cc были дешевым (зачастую бесплатным), автоматизированным, и простым в использовании ресурсом, на котором можно было обосноваться операторам пакетов эксплойтов, обслуживающих веб-страницы эксплойтов Blackhole, фальшивых антивирусов, троянцев ZeroAccess и шионских программ Zbot — список можно продолжать. При этом, операторы никак не отвечали за то, что многие пользователи оказались жертвами атак, проводимых с этих сайтов; частично с этих доменов также осуществлялось управление ботнета Hlux. В какой-то момент это привлекло внимание. Интересно, что в последние 48 часов с доменов .cu.cc и .co.cc было выполнено всего несколько обращений к Darduk; большая же часть обращений идет с поддоменов dyndns.info. обращения к Darduk идут с доменов .name, .org и других, но наиболее быстрый рост количества обращений наблюдается с домена .info. С сайтов .ms также распространяется много зловредов, необязательно сайты с эксплойтами Blackhole. Естественно, мы отслеживаем эти миграции вредоносной активности в Сети, и только время покажет, получится ли удержать домен .info чистым, и будут ли использоваться для вредоносных целей другие домены верхнего уровня.