Specjaliści z firmy Sunbelt odkryli kilka dni temu nowy interesujący typ oprogramowania spyware. Informację o nim umieścili na swoim blogu.
Podszywanie się pod program antywirusowy jest znaną od jakiegoś czasu metodą używaną przez oprogramowanie typu malware. Za to podpisanie aplikacji certyfikatem (jednej z najbardziej popularnych firm na rynku Verisign’s Thawte) jest już namiastką czegoś ciekawszego.
Każdy wie, że aby zyskać trzeba często zainwestować. Trzeba wyprzedzić konkurencję, pokazać coś nowego, lepszego i być zawsze o dwa kroki do przodu przed resztą.
Co ciekawe sama domena hostująca malware jest już aktualnie zawieszona, chociaż serwery DNS ns[12].power-antivirus-2009 com nadal odpowiadają poprawnym adresem IP, a strona serwuje zarażone pliki. Została założona 29 lipca, by po tygodniu zostać zawieszona. Widać, że jasna strona mocy działa coraz prężniej…
Fakt, że kupujący domenę ładnie opisał kraj, z którego być może pochodzi ;] (Rosja)
Zaciekawił mnie w tym wpisie wyraz Volovoso, który wyglądał jak miasto. Po wpisaniu w Google Maps nic takiego nie znalazłem. Po wpisaniu w wyszukiwarce Google, znalazłem 8 wyników, które wskazywały na inne domeny zarejestrowane na takie same dane:
– thespybotpromo com (luty 2008) – na stronie głównej pojawia się ostentacyjny kod braku strony (404)
– softtraf com (maj 2008) – jak wyżej
– spyshredderscanner com (wrzesień 2007) – podobnie jak power-antywirus-2009 strona serwująca fałszywą aplikację antyspyware [co ciekawe linki takie jak Privacy policy czy EULA zawierają dokładnie takie same treści w obu domenach)
– malwscan com (maj 2008) – strona podobna do opisanej powyżej.
We wszystkich przypadkach strony rejestrowane są w firmie ESTDOMAINS.
To swoją drogą ciekawie obrazuje podejście rejestratora. Wszyscy wiemy, że hostuje malware podpisując się do tego tymi samymi danymi (zapewne zupełnie z kosmosu z pomocą kradzionej karty kredytowej), a jednak “pecunia non olet” czyli pieniądze nie śmierdzą… Zapewne podobnie ma się rzecz z certyfikatami. Klient kupuje, płaci, jest szczęśliwy. Najwyżej jak wszyscy narobią krzyku, że określony certyfikat jest skażony to my go zablokujemy (certyfikat nie klienta), a klient i tak wróci po następny certyfikat :]
Bezpieczeństwo bezpieczeństwem, ale biznes to biznes…
Dodaj komentarz