เทรนด์ ไมโคร เตือนผู้ใช้ระวัง FAKEAV และโดเมนที่เป็นอันตราย โดยจะเตรียม URL ไปยังเพจต้อนรับ ซึ่งแสดงตัวป้องกันไวรัสให้ผู้ใช้ตกใจว่าระบบของตนติดไวรัส
บรรดาผู้ดำเนินการบ็อตเน็ต สแปมเมอร์ และผู้ที่อยู่เบื้องหลังแคมเปญของ SEO- search engine optimization (การปรับแต่งเว็บไซต์ เพื่อให้ติดอันดับต้นๆ ของเครื่องมือค้นหาเว็บไซต์ต่างๆ) มักจะหารายได้จากการสร้างบัญชีที่มีเครือข่ายของตัวแทน FAKEAV ขึ้นมา โดยตัวแทนเหล่านี้จะจัดเตรียม URL ไปยังเพจต้อนรับ (landing page) ซึ่งจะแสดงตัวสแกนป้องกันไวรัสปลอมและพยายามทำให้ผู้ใช้ตกใจคิดว่าระบบของตนนั้นติดไวรัสเพื่อจะได้ติดตั้งซอฟต์แวร์ป้องกันไวรัสปลอมนั้น ถ้าผู้ใช้ซื้อผลิตภัณฑ์ลวงดังกล่าว ลูกข่ายของตัวแทน FAKEAV (เช่น บ็อตมาสเตอร์) ก็จะได้รับส่วนแบ่งของรายได้ที่เกิดขึ้นนั้น
บทความชิ้นนี้ได้วิเคราะห์การดำเนินงานของตัวแทน FAKEAV รายหนึ่ง ซึ่งในอดีตเคยเป็นผู้จัดหาบ็อตเน็ต KOOBFACE รวมถึงดำเนินการ SEO ที่ได้รับการแพร่หลายอย่างมาก
ในระหว่างวันที่ 7 มีนาคมถึง 19 เมษายน 2554 มีการรวบรวมชื่อโดเมนจำนวน 890 ชื่อได้จาก URL ต้นทางที่ตัวแทน FAKEAV รายนี้ได้จัดเตรียมไว้ให้กับลูกข่ายของตน จำนวนดังกล่าวครอบคลุมถึงโดเมน .com, .org และ .net และไม่รวมโดเมน เช่น co.cc ที่ถูกรวบรวมไว้ได้เช่นกัน จากนั้นเราพบว่าชื่อโดเมนส่วนใหญ่ได้รับการแพร่กระจายทันทีหลังจากที่ได้รับการจดทะเบียนไปแล้วหนึ่งวัน นอกจากนี้ยังพบด้วยว่ามีโดเมนจำนวนมากถูกแจกจ่ายในวันเดียวกันกับที่จดทะเบียน
30 โดเมนแพร่กระจายในวันก่อนจดทะเบียน (3.3 เปอร์เซ็นต์) 246 โดเมนแพร่กระจายในวันเดียวกัน (27.6 เปอร์เซ็นต์) 588 โดเมนแพร่กระจายในวันถัดไป (66.0 เปอร์เซ็นต์) 13 โดเมนแพร่กระจายหลังจากผ่านไปสองวัน (1.4 เปอร์เซ็นต์) 1 โดเมนแพร่กระจายหลังจากผ่านไปสามวัน (0.1 เปอร์เซ็นต์) 3 แพร่กระจายหลังจากผ่านไปเจ็ดวัน (0.3 เปอร์เซ็นต์) มีความน่าสนใจตรงที่บางโดเมนถูกแพร่กระจายก่อนที่จะมีการจดทะเบียน ซึ่งแสดงให้เห็นว่าตัวแทน FAKEAV มีระบบการจดทะเบียนโดเมนอัตโนมัติ โดยตัวแทนเหล่านี้ได้ดำเนินการจดทะเบียนโดเมนโดยเฉลี่ย 20 ชื่อต่อวัน
อย่างไรก็ตาม จำนวนโดเมนที่จดทะเบียนเหล่านี้ยังมีความผันผวนอีกด้วย ตัวอย่างเช่น มีการจดทะเบียนโดเมน 44 ชื่อในวันที่ 27 มีนาคม ขณะที่มีโดเมนเพียงชื่อเดียวเท่านั้นที่ได้รับการจดทะเบียนในวันที่ 17 เมษายน โดยทั่วไปแล้ว ตัวแทนจะจดทะเบียนโดเมนกับบริษัทรับจดทะเบียนที่ต่างกันสองหรือสามรายต่อวัน แต่ในวันที่ 31 มีนาคม ตัวแทนดังกล่าวได้จดทะเบียนโดเมนกับบริษัทรับจดทะเบียนที่แตกต่างกัน ถึงเจ็ดราย
บริษัทรับจดทะเบียน 10 แห่งที่ถูกใช้บริการ ได้แก่
| 1.NETWORK SOLUTIONS LLC | 391 |
| 2. TUCOWS INC. | 107 |
| 3. GODADDY.COM INC. | 85 |
| 4. DIRECTNIC LTD. | 74 |
| 5. WILD WEST DOMAINS INC. | 55 |
| 6. NAMESECURE LLC | 40 |
| 7. ENOM INC. | 30 |
| 8. NETWORK SOLUTIONS LLC | 28 |
| 9. FASTDOMAIN INC. | 20 |
| 10. ABOVE.COM PTY. LTD. | 17 |
นอกจากนี้ตัวแทนยังใช้ที่อยู่อีเมลที่ต่างกัน 127 ที่อยู่สำหรับการจดทะเบียนโดเมนดังกล่าวด้วย จะเห็นได้ว่าผู้โจมตีได้ใช้ที่อยู่อีเมลของ Yahoo! Mail ที่ไม่ซ้ำกัน 39 ที่อยู่สำหรับโดเมน 559 ชื่อ โดยเฉลี่ยแล้ว แต่ละที่อยู่ อีเมลจะถูกใช้กับบริษัทรับจดทะเบียนโดเมนที่อยู่ละ 14 โดเมน ซึ่งจำนวนรวมสูงสุดสำหรับที่อยู่อีเมลเดียวคือ 44 โดเมน และต่ำสุดคือ 1 โดเมน โดยปกติที่อยู่อีเมลที่ใช้จดทะเบียนกับบริษัทรับจดทะเบียนแห่งหนึ่งในแต่ละวันนั้นจะไม่มีการถูกนำกลับมาใช้ซ้ำ แต่ตัวแทน FAKEAV รายนี้กำลังเลี่ยงการตรวจจับด้วยการแพร่กระจายการ จดทะเบียนโดเมนที่เป็นอันตรายกับผู้รับจดทะเบียนเป็นจำนวนมากและใช้หลายที่อยู่อีเมล
สายพันธุ์ FAKEAV ได้รับการแจกจ่ายผ่านทางรูปแบบตัวแทนโดยที่ตำแหน่งที่ตั้งส่วนกลางจะส่ง URL และข้อมูลไบนารีที่เป็นอันตรายไปยังลูกข่ายที่แพร่กระจายลิงก์เหล่านี้ด้วยวิธีการของตน ตัวแทนเหล่านี้มีความ สามารถในการจดทะเบียนชื่อโดเมนจำนวนมากโดยใช้ที่อยู่อีเมลที่ต่างกันและยังสามารถแพร่กระจายโดเมนได้อย่างรวดเร็วหลังจดทะเบียนแล้ว ดังนั้นการระบุต้นตอของโดเมน FAKEAV (ไม่เฉพาะเพียงบ็อตเน็ตที่แจกจ่ายโดเมนเหล่านี้เท่านั้น) จึงเป็นสิ่งสำคัญในการต่อสู้กับภัยคุกคามนี้
ข้อมูลจากศูนย์วิจัยข้อมูลเทรนด์แล็บส์ | บล็อกมัลแวร์ – โดย เทรนด์ ไมโคร
Thailandindustrycom_official
