来自 应用 2022-06-03 15:40 的文章

防ddos_香港高防云主机_限时优惠

防ddos_香港高防云主机_限时优惠

俄罗斯Odnoklassniki垃圾信息

最近,我们注意到我们的url过滤器中出现了太多带有恶意软件的合法域名。起初,我们认为我们有一个巨大的假阳性(FP)问题,ddos与防御相关的论文题目,但经过分析,我们发现了一个模式。

所有的参考链接都来自俄罗斯的Odnoklassniki服务器,这是一个相当流行的俄罗斯社交网络。该网络的用户收到带有照片链接的假消息。

这些链接托管在看起来完全无辜的域名上,并且很久以前就注册过。但是,所有这些都是三级或四级域名,所有这些都导致了一些恶意IP:69.197.136.99、94.249.188.224和178.63.214.97、94.249.189.21。

我们检查的所有网站都有指向干净合法网站的XX.YY/www.XX.YY(二级)。只有ZZ.XX.YY(第三级)指向恶意网站。首先,我们考虑了密码盗窃和域名托管上记录的修改(例如GoDaddy之类,ddos攻击技术与防御方法研究,在过去记录了类似的攻击)。但是因为我们看到的域名太多了,传奇防御cc,我们怀疑我们需要寻找另一种解释。

然后我们注意到所有原始域名都托管在fear.org服务器上。这项服务提供免费的DNS托管,这使得它在合法和恶意使用方面都非常流行。它们在这里的注册中提供了洞察力——任何恶意软件分析师都清楚地知道大多数顶级域名承载了大量恶意软件。但我们发现的域名肯定不是为了这个目的而创建的。我们联系了该服务的所有者,并惊讶地发现,任何人都可以创建一个帐户,并为fear.org上托管的任何域创建子域。就我个人而言,我认为拥有自由是件好事,但在这种情况下我们也应该承担责任。

所有这些"图片"链接都承载着来自俄罗斯Bicololo特洛伊木马病毒家族的可执行文件,维盟路由器ddos防御设置,这是我们两个多月前首次看到的。它们有几个特点:可执行文件实际上是一个合法的安装程序,在本例中是Nullsoft安装程序。它总是将3个文件放到%PROGRAMFILES%\s1\s1-a.bat、a.jpg和a.exe-中,然后按顺序执行它们。攻击中最重要的文件是.bat文件,在本例中名为"090909.bat"( ). 此文件附加假俄罗斯社交网络和邮件网站my.mail.ru、vk.com、odnoklassniki.ru等的IP地址和主机名。。。发送到%WINDIR%\System32\etc\hosts。该批被随机分配到一定程度,并在每种木马中使用不同的变量名和路径和URL的子字符串。

该.jpg文件只是图像文件,通常是从社交网站拍摄的裸体少女的照片。

第三个文件是可执行文件,在本例中,命名为"lublu_vinograd.exe"( ). 这个文件是用Borland Delphi编写的,实际上包含了一个良性Delphi项目的大部分死代码——在本例中是一个"Chart FX 3"工具,以及用于HTTP连接的静态链接Indy库。真正执行的是附加到绝育程序的一个小存根单元,它将etc\hosts设置为隐藏,在System32\drivers\etc中创建一个名为"hösts"的新的空文件,其中"of"是西里尔字母,因此它被视为一个不同的文件名,并作为隐藏的受感染文件名的封面,并对一个明显的"stats"URL执行HTTP请求,向该恶意软件的作者发出成功感染的信号。它在启动时既不会复制也不会持久。

因此,在撰写本博客文章时,该恶意软件的目的是将大型俄罗斯社交网站的流量重定向到攻击者的IP和凭证盗窃。安装后,当受感染的用户访问该社交网站时,他/她会被带到该网站2011年俄文版的一个几乎完美的副本(攻击骆驼忘记更改某些页面的版权年,cdn防御ddos方式,甚至没有尝试使用地理位置来提供正确的语言,由于vk.com在布拉格开放时使用的是英语,加上他们错过了vk.com最近的图形重新设计)

真vk.com

假vk.com

最新defs版本avast!检测二进制文件,阻止对二进制文件下载的访问,并阻止对重定向服务器的访问。