恶意站点的相关特点
国内某动态域名服务商旗下的动态域名常被不法分子用来传播网页木马和恶意程序。这类域名或许大家已经耳熟能详,例如3322.org、2288.org、9966.org、8866.org等。以2288.org为例,不法分子每天都要更换若干个域名来进行恶意程序的传播。下表所列是江民科技近期在2288.org监测到的部分用来挂马的恶意二级域名:
这些域名的二级域名通常为3位英文字母,按照每位至少存在26种可能计算下来,不法分子至少可以创造出17576个二级域名,从而可以轻易实现“打一枪换一个域名”,以此躲避对于其域名的封堵。不法分子每天都在同安全软件厂商乐此不疲地玩着这种更换域名的游戏,不过这种情况自6月底已开始大幅的减少。这或许说明,相关的域名服务商可能加大了自身的管理力度,如果是这样那必将在源头上对挂马行为起到遏制。
不仅仅是动态域名,挂马者们还利用了国外一些域名注册商的审核不严格,注册了大量的.info的域名进行恶意程序的传播。下表所列是江民科技近期监测到的部分.info域名:
从上表中不难看出,虽然不法分子有了独立的一级域名,但仍然会通过注册二级域名的方式来躲避封堵。不过这种利用.info域名进行疯狂挂马的行为在进入6月份以后也基本上处于销声匿迹的态势。