Pięć największych sieci dystrybucji złośliwego oprogramowania

Przedstawiamy pięć największych sieci dystrybucji malware'u pod względem ilości hostów dystrybuujących złośliwe oprogramowanie.

Shnakule

Liczba unikatowych hostów - 2001, maksymalnie zanotowano 4357.

Jest to zdecydowanie największa sieć dystrybucji złośliwego oprogramowania, zarówno pod względem ilości hostujących ją serwerów, jak i zasięgu działania. W pierwszej połowie 2011r., sieć ta zwabiła ponad 21 tysięcy użytkowników dziennie, przy czym zanotowane maksimum to 51 tysięcy. Jest to sieć rozproszona, wykorzystywana głównie do rozsiewania oprogramowania pobieranego za pomocą technologii drive-by, fałszywych antywirusów, kodeków, aktualizacji wtyczki Flash lub przeglądarki Firefox, a także stron zawierających nielegalne oprogramowanie (warez). Główna działalność tej sieci to fałszywe ataki wirusów, przy czym regularnie korzysta z manipulowania wynikami wyszukiwarek. Zagadnienia, w których notuje się obecność tej sieci to pornografia, farmaceutyki, farmy linków oraz oszustwa związane z fałszywymi ofertami pracy zdalnej.

Sieć ta składa się z różnych komponentów, niektóre z nich działają także osobno.

Ishabor

Liczba unikatowych hostów: 766, maksymalnie zanotowano 1140.

Sieć ta zajmuje się wyłącznie dystrybucją fałszywych antywirusów, powstała pod koniec kwietnia 2011r. i dość szybko rozpoczęła szeroko zakrojoną współpracę z siecią Shnakule. Prawdopodobnie była z nią związana od samego początku, ale część działalności realizuje osobno, podobnie testy tej sieci były prowadzone niezależnie od jej "rodzica".

Zobacz również:

  • Co trzecia firma w Polsce z cyberincydentem
  • Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Cinbric

Liczba unikatowych hostów: 505, maksymalnie zanotowano 1602.

Sieci dystrybuujące niepożądaną treść zazwyczaj muszą dywersyfikować źródła przychodów i strefy działań. Jednym z niewielu wyjątków jest sieć Cinbric, która pokazuje, że można prosperować, jeśli jedną rzecz robi się naprawdę dobrze. Sieć ta wykorzystuje głównie podejrzane oprogramowanie związane z branżą pornograficzną, ruch do niego jest pozyskiwany za pomocą spamu. Przykładem działań jest dystrybucja oprogramowania, które rzekomo daje dostęp do połączeń z kamerkami webowymi. Sieć ta nie notuje znaczących wzrostów ilości hostujących maszyn, ale charakteryzuje się znaczącym udziałem w ruchu.

Naargo

Średnia liczba unikatowych hostów: 199; maksymalnie zanotowano 299.

Chociaż ta sieć nie jest bezpośrednio związana z dostarczaniem złośliwego oprogramowania, charakteryzuje się cechami, które upodobniają je do innych tutaj wymienionych. Podobnie jak Cinbric, korzysta ona z manipulacji wyszukiwarkami oraz wysyłanego spamu, ale ruch jest kierowany do stron związanych z pornografią.

Vidzeban

Średnia liczba unikatowych hostów: 156; maksymalnie zanotowano 347.

Sieć ta tworzy fałszywe zasoby pirackiego oprogramowania, przy czym prawie w ogóle nie korzysta ze spamu i charakteryzuje się znaczącą obecnością materiałów w języku rosyjskim. Internauci odwiedzający te strony zazwyczaj szukają oprogramowania do pobrania, zatem wyniki wyszukiwań z wyszukiwarek internetowych są głównym źródłem ruchu. Użytkownicy zazwyczaj wiedzą, że szukają oczekiwanej przez nich zawartości w "szarej strefie Internetu". Podstawowym mechanizmem rozszerzania działalności sieci jest manipulacja wynikami wyszukiwania.

Tekst napisano na podstawie materiałów dostarczonych przez firmę BlueCoat.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200