О том как в .com.ua за один день стало на 39000 доменов больше Опции

[Zegaldis]

В whois-е такие домены обозначены как

% % .UA whois
% Domain Record:
% =============
domain: aaafrc.com.ua
admin-c: CCTLD-UANIC
tech-c: CCTLD-UANIC
status: FROZEN-OK-UNTIL 20090701000000
dom-public: NO
mnt-by: UARR109-UANIC (ua.admin)
remark: blocked according to administrator decision
changed: CCTLD-UANIC 20090320144714
source: UANIC

В dns для домена установлены записи IN TXT.
То есть домен внешне выглядит как просто занятый.

По рекомендации ICANN (Veni Markovski), поступившей 13 марта 2009 года, 39 тысяч доменов в com.ua использующихся червем conficker, заблокированы для регистрации.
Планируемый срок разблокирования - 1 июля 2009 года.

Решение о блокировании было принято 18 марта и исполнено ООО Хостмастер 20 марта 2009 года.

http://uastat.com/stat-comua/90.html

[DomainMan]

Не очень понял, а какая связь с червем? Как он работает?

[lazutov]

Конфискер - грандиознейший дос на систему DNS, управляемый рандомом.
Атака называется dns-шторм. RIPN по-моему очень страдал от таких атак на .<generic>.ru.

[Zegaldis]

Только вот как раз в .RU я применение блок-листа не увидел

[DomainMan]

В рамках борьбы с вирусом Conficker Координационный центр домена RU 30 марта 2009 года создал технического регистратора с идентификатором CC-REG-RIPN. Этот регистратор сделан для упреждающей регистрации доменных имен в домене RU, которые обнаруживаются в таблицах данных вируса. При этом учитывается время активации доменных имен, содержащихся в вирусе. По истечении срока потенциальной активизации доменного имени, зарегистрированные регистратором CC-REG-RIPN домены удаляются из реестра домена RU.

Вирус Conficker ежедневно создает уникальные доменные имена в 116 различных национальных доменах верхнего уровня, таких как .RU, .CA, .PL и др. Он постоянно распространяется и еще в 2008 году создавал около 250 различных доменов в день. С появлением C-версии вируса эта цифра резко возросла и теперь доходит до 50 тысяч доменных имен в сутки. Вирус Conficker работает по принципу двухступенчатой «ракеты». Первая часть вируса заражает многочисленные платформы Windows, имеющие критическую степень уязвимости по причине того, что они не были обновлены с помощью патча, выпущенного в октябре 2008 года. Предполагалось, что 1 апреля 2009 года должна быть активирована вторая часть вируса. Пока не ясно, как она работает, но имеющаяся на сегодняшний день информация позволяет предположить, что некий код может внедряться в веб-сайты. Этот код может способствовать распространению вируса или активизировать другие вредоносные процессы.

Краткая справка:
Conficker (также известен как Downup, Downadup и Kido) — один из опаснейших из известных на сегодняшний день компьютерных червей. Появился в сети в октябре 2008. Атакует операционные системы семейства Microsoft Windows (от Windows 2000 до Windows Vista и Windows Server 2008). На январь 2009 вирус поразил по некоторым подсчетам от 9 до 15 миллионов компьютеров во всём мире. Выявлено четыре основные версии вируса Conficker A, B, C и D, соответствнно - 21 ноября 2008, 29 декабря 2008, 20 февраля 2009 и 4 марта 2009.
Более подробная информация:
http://en.wikipedia.org/wiki/Conficker
http://ru.wikipedia.org/wiki/Conficker
Conficker Working Goup

[Zegaldis]

Правда я так и не понял..... Как этот вирус домены то регистрирует?

По ворованым кредиткам?

[lazutov]

а смысл?
Все не зарегят. Да вирус whois имеет.
Сначала по спискам регает, потом прорандомлено.

[Andris]

lazutov, Conficker ничего сам не регает, он только использует сгенерированные имена доменов для доступа к обновлениями своего функционала.

[DomainMan]

А примеры доменов, через которые он обновлялся - есть? Интересно на кого и где регали =)

[lazutov]

Берем любой списочек доменов cat <файл> | grep CC-REG-RIPN > file.txt
Можно даже с особым цинизмом:
Для регру

Код

cd ~/dlist
wget https://stat.reg.ru/domainlist/file?tld=ru&username=your_login&password=your_password
unzip ru_*
cat ru_* | grep CC-REG-RIPN > conficker.txt

В принципе у меня список таким способом собран.
Если кому надо - вышлю.
Выложить в паблик по понятным причинам не могу.
Вообще на данный момент у данного регистратора 5667.

Пробил программно несколько (30) рандомных доменов.
Делегированы.

Код

domain: ZXTMH.RU
type: CORPORATE
nserver: ns.0xc0f1c3a5.com.
nserver: ns.0xc0f1c3a5.net.
nserver: ns.0xc0f1c3a5.org.
state: REGISTERED, DELEGATED
org: Coordination Center for TLD RU
phone: +7 495 2581320
fax-no: +7 495 2581321
e-mail: viruskiller@cctld.ru
registrar: CC-REG-RIPN
created: 2009.03.31
paid-till: 2010.03.31
source: TC-RIPN

2 из 30 - седо

Сообщение отредактировал lazutov - 12.4.2009, 20:41

[Andris]

lazutov, а можно имена CC-REG-RIPN доменов, делегированных на Sedo, в личку? Спрошу кое-кого.

[lazutov]

у меня не выводилось. Я думал там все одинаковые поэтому не выводились имена.
Сча попробую, может попадет еще раз.
//
ой. пересмотрел скрипт.
Так получалось, что от первого и последнего домена отрезелось вместо (.ru\n) отрезалось (<буква>.ru)
А там ,видимо , получались ссс . вот и седо.
Как плохо получилось...

[chubaka]

А можно както получить список или его часть?

[aleksandr229]

Да.. это очень интересно!