Перейти к содержанию
AM_Bot

«Доктор Веб»: облава на подпольные сайты

Recommended Posts

AM_Bot

6 сентября 2011 года

В первых числах сентября 2011 года сотрудники компании «Доктор Веб» — ведущего российского разработчика средств информационной безопасности — провели специальное исследование для выявления интернет-ресурсов сомнительного содержания. Всего в результате этого в базы Родительского контроля Dr.Web было добавлено более 200 адресов веб-сайтов, содержащих материалы порнографического характера либо реализующих различные схемы подпольного бизнеса.

Вскоре после выявления многочисленных случаев взлома веб-сайтов, расположенных в российском сегменте Интернета, в распоряжении аналитиков компании «Доктор Веб» оказался список доменов, на которые осуществлялось перенаправление пользователей с подвергшихся компрометации ресурсов. Проанализировав эту информацию, специалисты компании выяснили, что на каждом из IP-адресов таких узлов, как правило, размещается еще несколько сайтов, многие из которых содержат различный сомнительный контент — поддельные службы файлового обмена, а также сайты, предлагающие на платной основе различные услуги, например, гадания, хиромантию, подбор диет, составление родословных, поиск угнанных автомобилей и даже лечение от прыщей. Встречались среди них и откровенно порнографические ресурсы. Множество подобных веб-сайтов содержало ссылки на другие узлы, для которых также составлялся список соседствующих с ними на одном хосте сайтов. Все полученные ссылки проверялись вручную. Таким образом была выявлена целая сеть, состоящая из сайтов сомнительного содержания. Один из фрагментов такой сети показан на предложенной ниже иллюстрации.

map.jpg

Большинство выявленных IP-адресов принадлежали провайдерам из Великобритании, Нидерландов, Виргинских островов, Гибралтара, и лишь незначительная их часть располагалась на территории Российской Федерации. Обнаруженные в ходе проверки адреса были добавлены в списки Родительского контроля Dr.Web. Есть основания предполагать, что число подобных сомнительных ресурсов сильно недооценено: только на одном хосте может располагаться более полусотни фальшивых файлообменников или иных сайтов схожей тематики.

Компания «Доктор Веб» отмечает, что работа по выявлению и блокировке сайтов сомнительного содержания будет продолжена и в дальнейшем.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Why so slow, guys ?

Как имевший отношение к.

У тебя блог. Ты пишешь и выкладываешь инфу о том, к чему непосредственно имеешь отношение. Всё.

Иначе дело обстоит с публикацией новости на главной странице "Доктор Веб". Во-первых, пишет не тот человек, который имеет отношение к получению результатов. Но это полбеды, здесь задержки незначительные, если есть вирлаб на связи и он в нормальных человеческих отношениях с автором новости. Но дальше начинаются согласования с начальником (он же единственный сотрудник) пиар-службы. Нужно, чтобы все формулировки были уточнены, чтобы ни дай боже какая неточность или вразрез с линией партии, и чтобы максимально выпятить достоинства компании и продуктов. Потом согласовать с директором по маркетингу, возможно, ещё и с генеральным. Ну, после каждого этапа ещё и копирайтер, который тоже обычно загружен по самое небалуйся.

Когда текст готов, он снова показывается вирлабу. Часто вирлаб после внесения изменений всеми перечисленными действиями в текст хватается за голову и говорит, где чего наменяли так, что смысл текста меняется на 180 градусов.

После этого процедура повторяется. Иногда неоднократно.

В результате это всё растягивается обычно на 2-3 дня, иногда на дольше.

Из-за этих проволочек в своё время мне захотелось (и удалось) пробить так тебе тогда не понравившийся проект "Горячая лента угроз". Она как раз была создана для того, чтобы публиковать туда подобные новости сразу, без согласований. Но при этом пользователям сообщалось, что информация в этой ленте может быть неточной. И создали, в общем-то, эту ленту. И писалось туда легко и непринуждённо.

...Но вернулся после временного увольнения товарищ главный пиарщик, и ему захотелось согласовывать все новости в "Горячей ленте" перед публикацией, что тоже начало приводить к задержкам. А наиболее "вкусные" новости он непременно снова захотел публиковать в новостях на главной странице. А это означало, что такие новости должны пройти все процедуры согласования.

Так что если и обогнали тебя по результатам (а не по срокам публикации), то ненамного.

...И теперь мне проще :)

P.S. А новость на самом деле правильная. Хотелось бы таких побольше, почаще.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.7
      ---------------------------------------------------------
       o Твики 39 и 40 обновлены и теперь включают ведение DNS лога.
         В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,
         в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
         в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
         который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
         промежуточные адреса будут отфильтрованы.
         Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
         (!) После включения функции требуется перезагрузить систему,
         (!) только в этом случае вы получите полную информацию с момента загрузки системы.
         (!) Только для активных и удаленных систем начиная с Vista (NT6.0).
         (!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
         (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.
    • santy
      да, уж. пишут с ошибками, а туда же - про обслуживание на высшем уровне
    • akoK
    • PR55.RP55
      Предлагаю создать новую базу  SHA1(+ ) <   > ЭЦП Это не база проверенных файлов... Это база проверенных файлов с ЭЦП. т.е. На системе №1 Проверяем файл ( ЭЦП - проходит проверку ) > SHA1 файла добавляется в базу  SHA1(+ ) > Оператор переходит к системе №2 и проверяет ЭЦП ... по базе SHA1(+). Почему по базе... Возможна ли проверка SHA2  на WINDOWS XP  и  т.д ;  На системах без обновлений с повреждённым каталогом ЭЦП ? А так...  Программа вычисляет SHA1 файла  > SHA1  проверяется по базе SHA1(+ ) ... > ЭЦП есть в базе = подтверждение цифровой. + Выигрыш по времени при проверке. Да,  подпись могут отозвать и т.д.  Но...  
    • santy
      это не нагромождение, это осознанный поиск. который не требует дополнительного программирования новых функций. пока что на VT видим, что функция поиска выполняется по хэшу. Если в API на VT есть возможность поиска по цифровой, почему бы и нет. + надо смотреть другие базы с сэмплами, которые предоставляют функции поиска через API public - есть там возможность поиска по цифровой или тоже только по хэшу, а пока что только поиск через Google. SHA1 как раз вещь постоянная для файла, а вот цифровые левые быстро отзываются. (и злоумышленники будут вынуждены подписывать свои файлы уже другой цифровой). если найден вредоносный файл с некоторой цифровой, и так уже понятно, что цифровую заносить в blacklist, и далее, уже все файлы с данной цифровой попадут в подозрительные и вирусы на других машинах.
×