Kínai és kanadai egyszerre, mi az?

2009. március 25. 15:58 - Csizmazia Darab István [Rambo]

Hát a Kínában hosztolt "kanadai gyógyszerész" weboldal. Úgy tűnik, a botnetes, Confickeres tapasztalatok is határozottan megerősítik ezt, hogy a kártevők terjesztéshez használt domainek száma is explonenciálisan megnövekedett, és ebben oroszlánrésze van a gyenge kínai bejegyzési szabályoknak. Nehéz megmondani, hogyan lehetne ennek útját állni.

Ha megnézzük egy átlagos napi spam termésünket, utcahosszal vezetnek a kanadai gyógyszerész oldalak kéretlen reklámjai. Már írtuk korábban is, ez lehet iTunes számla, de bármi más is, akár Amazon áruház rendelés visszaigazolásnak látszó tárgy is vagy bohém ifjúkorunkból származó kollégiumi fotó.

Ha vesszük a fáradtságot, és elkezdjük megnézegetni a domaintools segítségével, kik, hol és mikor jegyezték be az oldalakat, akkor azt látjuk, szinte kivétel nélkül Kínában, sok esetben a szerver is ott üzemel, és mindössze néhány nappal korábbi a regisztráció dátuma. Ha elolvassuk a legutóbbi elemzést a Conficker (Downapup) féregváltozatról, akkor ott már 50 ezer doménból 500 véletlenszerűen kiválasztott botnet vezérlést látunk, és nincs okunk feltételezni, hogy ezek számát na akárnák még tovább növelni, hiszen "bevált" nekik. Az is egy jó elméleti számtan példa, ha minden kínai (> 1.3 milliárd) minden nap 10 új domaint regisztrálna, mennyi idő alatt lenne itt az internetes világvége ;-) A zavarkeltéshez azonban úgy látszik, ennek a töredéke is elegendő.

Ha esetleg el is tekintünk attól, hogy a rendelt gyógyszer vagy a placebó kísérleteknél "esett le" egy teherautóról, vagy a temérdek szabadidővel rendelkező és szerfelett vicces fiúk készítették azt tevetrágyából és permetezőszerből, a lényeg az, hogy a rendelési oldalon várják a bankkártya adatokat a 3 jegyű biztonsági kóddal együtt.

Ezzel pedig már tudnak mit kezdeni a bűnözők, ezek birtokában vidám vásárlásba kezdenek, míg a gyógyszer oldalon ücsörgő "palimadár" még azt sem tudja, pontosan kikkel is áll kapcsolatban. Igaz, a becsapás miatti stresszre rendelhetünk még tőlük Cialist, de hát addigra egyrészt a bizalom már oda, másrészt bankszámlánk vélhetően sikeresen leapasztva piheg.

Sok esetben az "áruházi" weboldalon még a Contact Us vagy FAQ menüpont sem mutat sehová. Ha valaki mindenáron rosszul akar lenni kétes eredetű gyógyszertől, azt ma már internet nélkül a helyi bolhapiacon is megteheti forintért ;-)

A kéretlenül érkező bármilyen feladótól, bármilyen témájú levelek és bennük szereplő linkekkel a jóslatok szerint a botnet építők már április 1-re fókuszálnak. És függetlenül attól, hogy egy ilyen linket emailben, MSN vagy Skype üzenetben kapunk, fertőzött aloldalon vagy fórum- esetleg blogkommentben látjuk, egyáltalán nem szükséges, hogy a bolondok napja alkalmából mi magunk is kattintsunk ezekre.

1 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr821024695

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.