ค้นหาข้อมูล
ข้อมูลและสาระน่ารู้ที่อัพเดทล่าสุด
เทรนด์ ไมโคร เตือนระวัง FAKEAV และโดเมนที่เป็นอันตราย ภัยคุกคามไซเบอร์ ใช้วิธีแจ้งว่าพบไวรัส หลอกให้ซื้อโปรแกรมสแกนไวรัสปลอม
1228 view
 Post Date:  2011-06-13 01:14:00

เทรนด์ ไมโคร เตือนระวัง FAKEAV และโดเมนที่เป็นอันตราย ภัยคุกคามไซเบอร์ ใช้วิธีแจ้งว่าพบไวรัส หลอกให้ซื้อโปรแกรมสแกนไวรัสปลอม ลวงเงินจากผู้ใช้คอมพิวเตอร์…

เทรนด์ ไมโคร เผยแพร่บทความจากการวิเคราะห์การดำเนินงานของโดเมนที่ชื่อ FAKEAV พบว่าบรรดาผู้ดำเนินการบ็อตเน็ต สแปมเมอร์ และผู้ที่อยู่เบื้องหลังแคมเปญ SEO- search engine optimization  (การปรับแต่งเว็บไซต์ เพื่อให้ติดอันดับต้นๆ ของเครื่องมือค้นหาเว็บไซต์ต่างๆ) มักหารายได้จากการสร้างบัญชีที่มีเครือข่ายของตัวแทน FAKEAV โดยตัวแทนเหล่านี้จะจัดเตรียม URL ไปยังเพจต้อนรับ (landing page) ซึ่งจะแสดงตัวสแกนป้องกันไวรัสปลอมและพยายามทำให้ผู้ใช้ตกใจคิดว่าระบบของตนนั้นติดไวรัส เพื่อจะได้ติดตั้งซอฟต์แวร์ป้องกันไวรัสปลอมนั้น และเมื่อผู้ใช้ซื้อผลิตภัณฑ์ลวงดังกล่าวลูกข่ายของตัวแทน FAKEAV ก็จะได้รับส่วนแบ่งรายได้ที่เกิดขึ้น

ในระหว่างวันที่ 7 มี.ค.-19 เม.ย.2554 มีการรวบรวมชื่อโดเมนจำนวน 890 ชื่อ ได้จาก URL ต้นทางที่ตัวแทน FAKEAV รายหนึ่งได้จัดเตรียมไว้ให้กับลูกข่ายของตน จำนวนดังกล่าวครอบคลุมถึงโดเมน .com, .org และ .net และไม่รวมโดเมน เช่น co.cc ที่ถูกรวบรวมไว้ได้เช่นกัน จากนั้นยังพบว่าชื่อโดเมนส่วนใหญ่ได้รับการแพร่กระจายทันทีหลังจากได้รับการจดทะเบียนเพียง 1 วัน คิดเป็นสัดส่วนถึง 66% หรือประมาณ 588 โดเมน นอกจากนี้ยังพบความน่าสนใจที่บางโดเมนถูกแพร่กระจายก่อนทำการจดทะเบียน แสดงให้เห็นว่าตัวแทน FAKEAV มีระบบการจดทะเบียนโดเมนอัตโนมัติ โดยตัวแทนเหล่านี้ดำเนินการจดทะเบียนโดเมนโดยเฉลี่ย 20 ชื่อต่อวัน

อย่างไรก็ตาม จำนวนโดเมนที่จดทะเบียนเหล่านี้ยังมีความผันผวนอีกด้วย เช่น มีการจดทะเบียนโดเมน 44 ชื่อในวันที่ 27 มี.ค. ขณะที่มีโดเมนเพียงชื่อเดียวเท่านั้นที่ได้รับการจดทะเบียนในวันที่ 17 เม.ย. โดยทั่วไปแล้ว ตัวแทนจะจดทะเบียนโดเมนกับบริษัทรับจดทะเบียนที่ต่างกันสองหรือสามรายต่อวัน แต่ในวันที่ 31 มี.ค. ตัวแทนดังกล่าวได้จดทะเบียนโดเมนกับบริษัทรับจดทะเบียนที่แตกต่างกันถึงเจ็ดราย นอกจากนี้ตัวแทนยังใช้ที่อยู่อีเมล์ต่างกันถึง 127 ที่อยู่ สำหรับการจดทะเบียนโดเมนดังกล่าวอีกด้วย โดยปกติที่อยู่อีเมลท์ใช้จดทะเบียนกับบริษัทรับจดทะเบียนแห่งหนึ่งในแต่ละวันจะไม่มีการถูกนำกลับมาใช้ซ้ำ แต่ตัวแทน FAKEAV รายนี้กำลังเลี่ยงการตรวจจับด้วยการแพร่กระจายการจดทะเบียนโดเมนที่เป็นอันตรายกับผู้รับจดทะเบียนเป็นจำนวนมากและใช้หลายที่อยู่อีเมล์

บ็อตเน็ตสายพันธุ์ FAKEAV ได้รับการแจกจ่ายผ่านรูปแบบตัวแทน โดยที่ตำแหน่งที่ตั้งส่วนกลางจะส่ง URL และข้อมูลที่เป็นอันตรายไปยังลูกข่ายที่แพร่กระจายลิงก์เหล่านี้ด้วยวิธีการของตน ตัวแทนเหล่านี้มีความสามารถในการจดทะเบียนชื่อโดเมนจำนวนมากโดยใช้ที่อยู่อีเมล์แตกต่างกัน และยังสามารถแพร่กระจายโดเมนได้อย่างรวดเร็วหลังจดทะเบียนแล้ว ดังนั้น การระบุต้นตอของโดเมน FAKEAV จึงเป็นสิ่งสำคัญในการต่อสู้กับภัยคุกคามดังกล่าว

 

ที่มาของข่าว : ไทยรัฐออนไลน์ วันที่ 10 – 06 – 2554