图像

微软DNS劫持并习惯推垃圾邮件

头像
经过 WHR编辑器
星期四,14TH. October 2010, 09:04

 网络菌素 报告称,过去三周,属于微软的互联网地址已被用来将流量路由到由一个臭名昭着的俄罗斯犯罪分子群体维护的超过1,000个欺诈性网站,可公开访问的互联网数据表示。

 

1,025个独特的网站推动伟哥,人类生长激素和其他制药虽然是加拿大健康&护理购物中心。它们使用属于Microsoft的两个IP地址之一托管其官方域名系统服务器,搜索Microsoft的搜索结果’自己的服务器展示。据Ronald F.Guilmette(Ronald F.Guilmette)首次揭开劫持的研究人员,据报道,许可证名称服务器已经在Microsoft地址上托管了Microsoft地址。

 

通过检查与Internet查找工具一起使用的结果,确定了131.107.202.197和131.107.202.198—这两个都注册到微软—是否容纳几十个DNS服务器,可帮助将药房域名名称转换为托管站点的数字IP地址。

他们说,最可能的解释是微软的机器’S校园已经被编程为这样做,可能在它被感染恶意软件后。

 

重要的部分似乎是某种妥协似乎在游戏中,”贝勒大学信息系统教授兰达尔·沃恩说。“它可能是NS妥协,OS妥协,流氓客户机或完全的其他东西。为了让在那里输入的DNS区域,它们必须置于框中。”

 

Vaughn还举行了连接到Microsoft IPS的服务器可能是蜂蜜锅的一部分’故意托管名称服务器,以便研究人员可以秘密地监控帮派’运营。另一种可能性是药房运营商已订阅Microsoft提供的某种托管服务。

 

一位微软发言人表示,她在调查完成后调查调查结果并预计会提供一份声明。

 

总部位于加利福尼亚州的Guilmette表示,他已经发现了证据表明,其他大型组织在过去遭到同样劫持,他说’S说明结果意味着微软面临着某种系统妥协。

I’偏执的人,” he said. “There’对于我的事实,没有其他明显的,合理的合理解释’m looking at.”

 

另一个研究人员由假名JART ARMIN表示,可能没有Microsoft Server妥协。相反,他说,犯罪分子可能会发现一种方法来缓存Microsoft IP地址上的区域文件,并使它们似乎是权威的结果。他没有’t完全解释了如何完成这一假设的可能性和Vaughn。

 

加拿大健康&根据SPAMTrackers.eu,由普通群岛,Eva药房和Yambo Financess,Care Care Mall被认为是由Bulker.Biz,Eva Pharmacy和Yambo Financess经营。研究人员所说的操作也从事儿童色情,身份盗窃和猖獗的垃圾邮件,专门从事在没有业主的受感染主机上运行的网站和名称服务器’知识,网站说。已知成员用与代理Web主机充当的自定义编写二进制文件感染Linux和Unix机器。

 

在受感染的机器上运行网站和DNS服务器的好处是歧管。 ARMIN说,不仅做出了这么大幅降低了非法运营的成本,而且来自组织的使用来自组织的IP地址可能使骗局在垃圾邮件过滤器和搜索引擎黑名单的雷达下飞行。

 

在过去的几周里,Guilmette表示,还观察到几个其他大型组织的IP地址是托管同一犯罪服装的名称服务器。休斯顿大学,印度政府和纽约市城市大学只是列表中的三个名字。研究人员说,他们已经纠正了问题,因此DNS服务器不再携带自由乘坐系统。

 

在过去的一年里,微软在狩猎中采取了更积极的作用,犯罪分子的罪犯认为已经劫持了微软’网络提供帮助操作非法药房。公司研究人员在创建Conficker工作组方面有助于积极渗透由Conficker Worm建造的大规模僵尸网络,以试图破坏它或关闭它。

 

该公司最近成功地通过技术和法律机动的组合关闭了Waledac Botnet。

Microsoft IP地址在启用此类诈骗而在发挥关键作用的讽刺’贝勒大学失去了’s Vaughn.

我几乎保证那里’在微软的某些人在那里,可能是一个以上的人,这正试图摆脱加拿大药店小组,” he said. “如果有可用的IP信息,那将是很好的。”