Nie raz i nie dwa podkreślałem, że ciemna strona mocy stara się coraz bardziej i będzie podążała w kierunku dalszych zysków, zysków, zysków. Podążanie owo będzie oczywiście miało coraz to odważniejsze, a przede wszystkim mądrzejsze formy. Poprzez mądrzejsze mam tutaj na myśli tworzenie bardziej zaawansowanego oprogramowania, trudniejszego do wykrycia, stosowanie metod, które zwiększą ilość zarażonych, stosowanie pomysłów „uwiarygadniających„. Takowo słowo malwarem się stało…
Specjaliści z firmy Sunbelt na swoim blogu, opisali odkryty kilka dni temu nowy interesujący typ oprogramowania spyware. Metoda polegająca na podszyciu się pod fałszywy program antywirusowy jest tutaj znana od jakiegoś czasu, to podpisanie aplikacji certyfikatem (jednej z najbardziej popularnych firm na rynku Verisign’s Thawte) jest już namiastką czegoś ciekawszego, choć spotkałem się z opinią, że podpisywanie malware zaufanymi certyfikatami odbywa się już od kilku lat. Tak czy siak sprawa jest interesująca…
Każdy wie, że aby zyskać trzeba często zainwestować. Trzeba wyprzedzić konkurencję, pokazać coś nowego, lepszego i być zawsze o dwa kroki do przodu przed resztą.
Co ciekawe sama domena jest już aktualnie zawieszona, chociaż serwery DNS ns[12].power-antivirus-2009 com nadal odpowiadają poprawnym adresem IP, a strona serwuje zarażone pliki. Została założona 29 lipca, by po tygodniu zostać zawieszona. Widać, że jasna strona mocy działa coraz prężniej…
Fakt, że kupujący domenę ładnie opisał kraj, z którego być może pochodzi ;] (Rosja)
Zaciekawił mnie w tym wpisie wyraz Volovoso, który wyglądał jak miasto. Po wpisaniu w Google Maps nic takiego nie znalazłem. Po wpisaniu w wyszukiwarce Google, znalazłem 8 wyników, które wskazywały na inne domeny zarejestrowane na takie same dane:
– thespybotpromo com (luty 2008) – na stronie głównej pojawia się ostentacyjny kod braku strony (404)
– softtraf com (maj 2008) – jak wyżej
– spyshredderscanner com (wrzesień 2007) – podobnie jak power-antywirus-2009 strona serwująca fałszywą aplikację antyspyware [co ciekawe linki takie jak Privacy policy czy EULA zawierają dokładnie takie same treści w obu domenach)
– malwscan com (maj 2008) – strona podobna do opisanej powyżej.
We wszystkich przypadkach strony rejestrowane są w firmie ESTDOMAINS.
To swoją drogą ciekawie obrazuje podejście rejestratora. Wszyscy wiemy, że hostuje malware podpisując się do tego tymi samymi danymi (zapewne zupełnie z kosmosu z pomocą kradzionej karty kredytowej), a jednak „pecunia non olet” czyli pieniądze nie śmierdzą… Zapewne podobnie ma się rzecz z certyfikatami. Klient kupuje, płaci, jest szczęśliwy. Najwyżej jak wszyscy narobią krzyku, że określony certyfikat jest skażony to my go zablokujemy (certyfikat nie klienta), a klient i tak wróci po następny certyfikat :]
Bezpieczeństwo bezpieczeństwem, ale biznes to biznes…
Domain Name: POWER-ANTIVIRUS-2009 COM
Registrant:
Sawert Alliance ltd.
Peltonen Martti (seodancer@gmail.com)
Jeledoroznaya str. 14
Volovoso
Leningradskaya oblast,188410
RU
Tel. +7.9218901266Creation Date: 29-Jul-2008
Expiration Date: 29-Jul-2009Domain servers in listed order:
ns2.power-antivirus-2009 com
ns1.power-antivirus-2009 comStatus:SUSPENDED
Domain Name: THESPYBOTPROMO COM
Registrant:
Sawert Alliance ltd.
Peltonen Martti (seodancer@gmail.com)
Jeledoroznaya str. 14
Volovoso
Leningradskaya oblast,188410
RU
Tel. +7.9218901266Creation Date: 22-Feb-2008
Expiration Date: 22-Feb-2009Domain servers in listed order:
ns2.thespybotpromo com
ns1.thespybotpromo com
Domain Name: SOFTTRAF COM
Registrant:
Sawert Alliance ltd.
Peltonen Martti (seodancer@gmail.com)
Jeledoroznaya str. 14
Volovoso
Leningradskaya oblast,188410
RU
Tel. +7.9218901266Creation Date: 16-May-2008
Expiration Date: 16-May-2009Domain servers in listed order:
ns2.softtraf com
ns1.softtraf com
Domain Name: SPYSHREDDERSCANNER COM
Registrant:
Sawert Alliance ltd.
Peltonen Martti (seodancer@gmail.com)
Jeledoroznaya str. 14
Volovoso
Leningradskaya oblast,188410
RU
Tel. +7.9218901266Creation Date: 27-Sep-2007
Expiration Date: 27-Sep-2008Domain servers in listed order:
ns2.spyshredderscanner com
ns1.spyshredderscanner com
Domain Name: MALWSCAN COM
Registrant:
Sawert Alliance ltd.
Peltonen Martti (seodancer@gmail.com)
Jeledoroznaya str. 14
Volovoso
Leningradskaya oblast,188410
RU
Tel. +7.9218901266Creation Date: 10-May-2008
Expiration Date: 10-May-2009Domain servers in listed order:
ns2.malwscan com
ns1.malwscan com
Jeden komentarz do
12 sierpnia, 2008 o godzinie 00:47
Volosovo. Wygenerowane, zle przepisane i presume. Korzystalem z whois i google’a.