2014年第24周恶意地址跟踪小结

一、综述

  • 本期全部有效地址数量是2385个,其中海外有效地址数量是1520个,大陆有效地址数量是865个,全部有效地址较上周相比持平,仅上升4个;全部有效恶意地址数量连续3周保持在一个非常狭窄的区间中。在大陆的恶意地址分布排名列表中,广东、北京、江苏、浙江、河南位居前五;在海外恶意地址分布排名列表中,美国、韩国、香港位居前三;
  • 属于大陆的重复新增地址数量首次超过海外,大陆26个,海外21个。其中来自河南、广东、河北、辽宁、福建恶意地址数量排名前五;在属于在海外的重复新增地址中,韩国、美国、香港的数量排名前三;这些地址还多数涉及到发送大量的垃圾邮件的恶意行为;
  • 单个恶意地址对应的恶意域名数量前10位列表中,大陆的排名没有变化,海外的排名因为一个韩国地址涉及的恶意域名数量增加而有所变化;
  • 恶意地址数量持续保持在高位。初步形成了一段平稳的时期,我们将继续跟踪和记录恶意地址的变化情况,以便希望能够见微知著,从这些变化来初步反映目前网络环境的基本态势。以下是今年恶意地址数量变化的趋势图:

2014-24

 

二、反复出现的新增地址分析   

有些新增的地址其实不是真实的新增,而是跟前一周相比新增,也就是说这

些地址是重复新增的。这些地址对应的域名有所变化,它们对于黑产的意义就比使用后就废弃的地址重大。需要重视这些反复新增的地址。

本期的重复4次及以上的新增地址达到47个,大陆26个,海外21个。

在重复新增地址列表中出现多个大陆的地址。其中来自河南、广东、河北、辽宁的恶意地址数量排名前三;

在属于在海外的重复新增地址中,韩国、美国、香港的数量排名前三;

同时根据McAfee 全球威胁中心的结果分析,这些地址还多数涉及到发送大量的垃圾邮件;

以下是重复新增次数达到4次及以上的地址列表:

IP地址

位置

是否属于大陆

域名数量

最新新增次数

McAfee Threat Center

78.16.49.15

爱尔兰

FALSE

9

4

email high

60.172.228.87

安徽省淮北市 电信

TRUE

1

6

email high

46.82.174.68

德国

FALSE

12

5

95.169.190.7

德国

FALSE

1

5

81.177.30.2

俄罗斯

FALSE

1

6

117.27.152.233

福建省 电信

TRUE

1

5

58.22.229.88

福建省龙岩市 联通

TRUE

1

5

email high

119.129.65.70

广东省广州市 电信

TRUE

1

6

email high

202.116.225.38

广东省广州市 广东省教委

TRUE

1

4

email high

112.91.30.114

广东省河源市 联通

TRUE

1

4

email high

121.10.140.118

广东省茂名市 电信

TRUE

1

4

122.13.176.80

广西自治区防城港市 铁通

TRUE

1

4

115.71.1.10

韩国

FALSE

1

4

web high

115.71.19.143

韩国

FALSE

1

6

115.71.21.27

韩国

FALSE

1

5

115.71.3.12

韩国

FALSE

1

6

115.71.3.13

韩国

FALSE

1

6

121.78.175.4

韩国

FALSE

1

4

121.78.175.7

韩国

FALSE

1

5

180.210.37.35

韩国

FALSE

1

6

121.18.238.197

河北省保定市 联通

TRUE

1

5

121.22.6.39

河北省秦皇岛市 联通

TRUE

1

4

110.249.214.18

河北省石家庄市 联通

TRUE

3

4

email high

61.54.28.6

河南省洛阳市 联通

TRUE

13

4

email high

222.142.57.29

河南省平顶山市 联通

TRUE

1

4

email high

122.112.2.14

河南省郑州市 广电网

TRUE

11

7

116.255.137.131

河南省郑州市 景安网络

TRUE

1

7

116.255.233.172

河南省郑州市 景安网络

TRUE

2

4

218.29.229.218

河南省郑州市 联通

TRUE

4

4

email high

61.136.228.212

湖北省襄樊市 电信

TRUE

3

4

email high

111.74.239.220

江西省 电信

TRUE

1

5

218.61.9.21

辽宁省大连市 联通

TRUE

3

4

email high

218.61.9.22

辽宁省大连市 联通

TRUE

1

4

email high

218.61.35.197

辽宁省大连市 联通

TRUE

1

4

174.35.24.137

美国

FALSE

1

4

208.73.211.173

美国

FALSE

29

4

web high

38.109.102.176

美国

FALSE

1

5

96.43.96.206

美国

FALSE

1

4

74.125.31.82

美国 GOOGLE

FALSE

10

4

54.248.143.107

美国 新泽西州Merck公司

FALSE

2

6

1.25.36.103

内蒙古 联通

TRUE

3

5

118.72.253.4

山西省 联通

TRUE

1

5

email high

118.72.253.5

山西省 联通

TRUE

1

5

email high

111.68.8.196

香港特别行政区

FALSE

1

4

180.178.59.76

香港特别行政区

FALSE

1

5

46.28.49.36

英国

FALSE

1

5

60.55.33.110

浙江省宁波市 联通

TRUE

5

4

三、 涉及到大陆的地址对应的恶意域名数量前10位分析

我们看到跟前一周的记录相比,没有任何变化,我们还将继续观察,看这种平衡的状态何时被打破。

以下是前10位地址列表:

IP地址

位置

域名数量

连续存活周期

219.134.132.88

广东省深圳市 电信(龙岗/南山区)

386

36

219.150.241.46

河南省南阳市 电信

203

36

61.160.239.25

江苏省常州市 电信

196

69

221.130.179.36

上海市 移动

92

81

125.77.199.30

福建省厦门市 电信

43

81

211.100.253.9

北京市 电信通

39

121

42.51.16.29

河南省郑州市 景安计算机网络技术有限公司

37

24

222.76.217.179

福建省厦门市 电信

36

130

183.60.106.54

广东省深圳市 电信

34

11

60.190.217.230

浙江省绍兴市 电信

33

63

四、涉及到海外的地址对应的恶意域名数量前10位分析

我们看到跟前一周的记录相比,出现了一点变化。韩国的175.195.249.247排名从第五上升到第四,其涉及的恶意域名数量从109上升到112个。韩国的另外两个地址涉及的恶意域名数量也有所增加。

以下是前10位地址列表:

IP地址

位置

域名数量

连续存活周期

72.8.190.39

美国加利福尼亚州奥兰治县富勒顿市Staminus通信公司

301

23

88.198.132.3

德国

269

46

216.8.179.23

美国

257

36

175.195.249.247

韩国

112

10

67.208.74.71

美国

112

147

14.33.133.118

韩国

109

10

221.150.237.185

韩国

107

10

54.72.9.51

美国 新泽西州Merck公司

91

17

184.107.53.150

加拿大

69

67

216.38.62.18

美国

68

118

 

 

Written by liuyang