image

Kaspersky: No-IP.com vaak gebruikt voor botnets

zaterdag 5 juli 2014, 14:41 door Redactie, 3 reacties

De DDNS-aanbieder No-IP.com heeft inmiddels alle domeinen terug die recent door Microsoft in beslag werden genomen, maar de provider is niet zo onschuldig als het doet overkomen, zo stelt Eugene Kaspersky, oprichter van het gelijknamige Russische anti-virusbedrijf.

No-IP.com biedt gratis Dynamische DNS (DDNS)-diensten aan, waarmee gebruikers gratis allerlei subdomeinen kunnen aanmaken en aan een IP-adres koppelen. Volgens Microsoft werd No-IP op grote schaal door de Bladabindi en Jenxcus-malware gebruikt en stapte het daarom naar de rechter, waarbij het de controle over de domeinen van No-IP.com eiste. De rechter stond het verzoek toe, waardoor het verkeer naar deze domeinen op de servers van Microsoft uitkwam.

Microsoft kon al het verkeer volgens No-IP.com niet aan, waardoor miljoenen websites offline gingen. In een verklaring stelde de softwaregigant dat er inderdaad fouten bij de operatie waren gemaakt, waardoor ook onschuldige gebruikers van de DDNS-dienst werden getroffen. No-IP.com liet eergisteren weten dat het alle in beslag genomen domeinen weer terug heeft.

Cybercrime

Volgens Kaspersky wordt No-IP.com regelmatig door cybercriminelen gebruikt. Daarnaast zou het bedrijf van alle grote providers het minst willen meewerken aan verzoeken om cybercrime aan te pakken. Zo negeerde het bedrijf alle verzoeken van Kaspersky Lab over een botnet-sinkhole. "Onze analyse van huidige malware laat zien dat No-IP vaak door cyberzwijnen voor het besturen van botnets wordt gebruikt. Dit wordt door VirusTotal bevestigd: 4,5 miljoen unieke malware exemplaren zijn van No-IP afkomstig", aldus Kaspersky.

Uit de statistieken blijkt dat No-IP.com procentueel gezien veel malware host. Malware domeinen op No-IP.com genereerden 30.000 detecties. Een van de meest kwaadaardige domeinen eindigend op .com genereerde echter 429.000 detecties. Het sluiten van alle domeinen van No-IP.com is dan ook niet effectiever dan het sluiten van één enkel veelgebruikt malware-domein eindigend op .com, .net of zelfs .ru. "Samengevat, zelfs als je alle DDNS-aanbieders zou sluiten, zou het internet nog steeds 'niet' schoner worden zodat het verschil merkbaar is", concludeert de Russische virusbestrijder.

Image

Reacties (3)
05-07-2014, 15:58 door Anoniem
Volgens het verhaal het redelijk zinloos zou zijn om om het even welke dyndnsaanbieder aan te pakken, waarmee deze redmondse actie volgens Eugene "internetpaspoort" Kaspersky effectvrij is. En dus een ondoordachte PR-stunt met vooral terugslag. Waarom je dan gaat roepen dat no-ip toch heus wel schuldig is ontgaat me een beetje.

Het is me ook niet duidelijk wat de nummers moeten bewijzen. Hoe "slecht" de aanbieder wel niet is? Hoe vergelijk je deze nummers dan met gebruik van niet-malware? Want je zou zo maar kunnen concluderen dat wel 27,5 % van alle no-ip gebruikende hosts vol zit met malware, maar het zou net zo goed kunnen zijn dat zoveel procent van hun "detecties" aanvragen doet naar, wat vaak parametrisch-willekeurig gegenereerde aanvragen zijn en verder weinig hoeven te betekenen. Je kan dus uit het tabelletje ook al niet opmaken hoe "malwarig" no-ip als organisatie is, wat de inleiding wel claimt.

Met andere woorden, lijkt op de gebruikelijke overtikFUD zonder enige nuttige inhoud. Als er wel inhoud is dan is'ie goed verstopt, en dat is nou niet wat een journalist hoort te doen. Dit stukje heeft dan ook nul journalistieke waarde.
06-07-2014, 01:27 door Anoniem
No-IP host geen malware. Ken het verschil tussen DNS en web site hosting.
06-07-2014, 10:54 door Anoniem
Waar maakt die virusboer zich druk om?
Als 'anti'-virus toko is het toch alleen maar handig dat veel malware zich clustert op 1 domein?
Laat je standaard heuristic daar op los...

Bovendien deze statistieken laten zien dat er minstens 4 dns-hosters (geen malware hosters dus) ergere klanten hebben.
En dat het aantal detecties in samenhang met aantal klanten en percentage malware ook nog meevalt ten opzichte van andere toko's...

Dus helaas... weer een gevalletje van FUD, Marketing en my-enemies enemies are my friend handelen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.