cNotes 検索 一覧 カテゴリ

サイバースクワット?typo狙い?

Published: 2008/03/22

 昔から、一見、よくみる名前だけど、正規のサイトとは無関係なドメイン名が大量に存在します。サイバースクワットなのかtypo狙いで誘導する宣伝サイトなのか、なにかに感染させるためのサイトなのかいろいろな目的はあるようですが、インターネットの原理上こういったDNS操作は当たり前の行為であるため、善悪、防ぐ防がない議論は技術的なレイヤーではどうしようもないわけでありますが。ましてや最近の検索エンジンを使用したマーケティング行為とも取れるわけで、世の中はそこには眼をつぶる傾向?なのでマルウェア感染に利用するには格好な手法ですね。

 そのような中で最近目立つ例で、同一のIPアドレスを持つアンチウイルス系、フリーソフト系、OS系などと関連ありそうなドメイン名が大量に存在します。直近の状況では多くがDNS的にNXDOMAINになっていたり、Aレコードは存在してもサイトは403の状態になっていたり、さらに今ではまったく違うアドレスになってしまっているものもあります。既に多くのブラックリストに登録されているものも多いです。そのようなものも含め観測されていたドメインの例が次のようなものになります。(実際には600以上あります)

 acrobatbundle.com
 acrobatpack.com
 adawarebundle.com
 adawarepack.com
 adobe-pack.com
 adobepack.com
 adultmoviesmembersarea.com
 adwarepro.com
 antispyware-2007.com
 antispyware007.com
 antivirus-2007.com
 antivirus-pack.com
 antivirusreview.info
 avast-bundle.com
 avast-pack.com
 avastbundle.com
 avastpack.com
 avforce.com
 azulcancun.com
 bearshare-uk.com
 bearshare-usa.com
 bestedownloads.com
 build-myspace.com
 cashengines.com
 cashslinger.com
 criminal-records-now.us
 cyber-tv-partner.com
 cybertv-partner.com
 cybertvpartner.com
 detectiveservices.info
 digitaltvonpc.com
 download-ad-aware.com
 download-it-free.com
 download-mcafee.com
 downloadhome.net
 downloads-reviews.info
 drmengines.com
 easy-antivirus.com
 free-download-center.com
 free-mp3-share.com
 free-music-page.com
 gov-check.com
 gov-check.org
 gov-check.us
 gov-files.info
 gov-files.net
 gov-files.org
 government-check.com
 government-check.org
 government-check.us
 governmentcheck.org
 governmentcheck.us
 ibaffiliates.interactivebrands.com
 internettvaccess.com
 irfanviewbundle.com
 irfanviewpack.com
 mcafee-pack.com
 mcafeebundle.com
 mcafeepack.com
 netdetectiveservices.info
 onlinetvaccess.com
 pandabundle.com
 pandasecuritysoftware.com
 pandasecuritysoftware.net
 realplayerbundle.com
 realplayerpack.com
 safesoftwaredownloads.com
 security-review.info
 tele-enligne.tv
 thenuker.com
 thesoftwaremembersarea.com
 thetvmembersarea.com
 top-free-downloads.com
 top-software-downloads.com
 topsoftware-reviews.com
 tv-4-pc.com
 watchonline.tv
 winmx-uk.com
 winmx-usa.com
 winzip-10.com
 xp-secure.com

確かに一見しただけではそこから連想されるものと無関係なサイトには見えないですね。IPアドレス的には63.243.188.0/24内のアドレスがいろいろ使われていてwhois的にはここ。こういったサイトの専門業者??

 NetRange:   63.243.188.0 - 63.243.188.255 
 CIDR:       63.243.188.0/24 
 NetName:    RACK-ENGINES
 NetHandle:  NET-63-243-188-0-1
 Parent:     NET-63-243-128-0-1
 NetType:    Reassigned
 NameServer: NS1.HSPROVIDER.NET
 NameServer: NS2.HSPROVIDER.NET

これはカナダなんですが、まったく違うアドレスに変更して中国の方にサイトを移動したものもあるようです。

[カテゴリ:DNS観察日記]

by jyake