2014年第25周恶意地址跟踪小结

一、综述

  • 本期全部有效地址数量是2388个,其中海外有效地址数量是1540个,大陆有效地址数量是848个,全部有效地址较上周相比持平,仅上升3个;
  • 属于大陆的重复新增地址数量大幅下降,海外的数量有小幅增加。大陆的数量是海外的40%。最近河南的重复新增地址数量持续位于第一位,需要引起关注;在属于海外的重复新增地址中,美国、韩国的地址占绝大多数,本期没有出现香港的重复新增地址;
  • 单个恶意地址对应的恶意域名数量前10位列表中,大陆和海外的排名没有变化;
  • 恶意地址数量持续保持在高位。初步形成了一段平稳的时期,我们将继续跟踪和记录恶意地址的变化情况,以便希望能够见微知著,从这些变化来初步反映目前网络环境的基本态势。以下是今年恶意地址数量变化的趋势图:

 

 

 

2014-25

二、反复出现的新增地址分析

有些新增的地址其实不是真实的新增,而是跟前一周相比新增,也就是说这些地址是重复新增的。这些地址对应的域名有所变化,它们对于黑产的意义就比使用后就废弃的地址重大。需要重视这些反复新增的地址。

本期的重复4次及以上的新增地址达到38个,大陆11个,海外27个。大陆的新增重复地址数量较前一周有大幅下降。

在重复新增地址列表中出现多个大陆的地址。其中来自河南、广东的恶意新增地址数量较多,最近河南的恶意地址数量持续位于第一位,需要引起关注;以下是大陆的重复新增次数达到4次及以上的地址列表:

IP地址

位置

是否属于大陆

域名数量

最新新增次数

McAfee Threat Center

116.255.245.42

河南省郑州市 景安网络

TRUE

3

6

116.255.233.164

河南省郑州市 景安网络

TRUE

2

6

116.255.137.144

河南省郑州市 景安网络

TRUE

1

5

122.228.73.193

浙江省温州市 电信

TRUE

1

5

121.12.108.104

广东省东莞市 电信

TRUE

1

4

121.12.169.200

广东省东莞市 电信

TRUE

1

4

111.177.111.68

湖北省襄阳市 电信

TRUE

2

4

222.186.30.174

江苏省镇江市 电信

TRUE

1

4

email high

124.172.237.40

江西省吉安市 铁通

TRUE

1

4

27.221.36.17

山东省 联通

TRUE

2

4

114.80.156.113

上海市 电信

TRUE

1

4

在属于在海外的重复新增地址中,美国、韩国的地址占绝大多数,不过没有出现香港的地址;

同时根据McAfee 全球威胁中心的结果,有两个美国的地址涉及到垃圾邮件和挂马;

以下是海外重复新增次数达到4次及以上的地址列表:

 

IP地址

位置

是否属于大陆

域名数量

最新新增次数

McAfee Threat Center

81.22.107.194

土耳其

FALSE

1

4

110.34.130.66

泰国

FALSE

1

4

54.217.214.111

美国 新泽西州Merck公司

FALSE

1

6

54.248.82.230

美国 新泽西州Merck公司

FALSE

2

5

54.76.135.1

美国 新泽西州Merck公司

FALSE

3

4

54.250.120.19

美国 新泽西州Merck公司

FALSE

2

4

50.117.120.254

美国 加利福尼亚州圣何塞Egihosting公司

FALSE

19

4

207.171.185.201

美国

FALSE

1

8

4.36.66.178

美国

FALSE

2

6

64.15.205.100

美国

FALSE

1

6

208.73.211.234

美国

FALSE

1

6

184.105.178.92

美国

FALSE

10

5

web high

50.63.202.67

美国

FALSE

4

4

64.32.26.89

美国

FALSE

1

4

email high

174.139.65.58

美国

FALSE

1

4

180.210.37.34

韩国

FALSE

1

7

211.40.221.66

韩国

FALSE

1

5

121.78.93.196

韩国

FALSE

1

5

115.71.2.22

韩国

FALSE

1

5

115.71.19.142

韩国

FALSE

1

5

115.71.1.11

韩国

FALSE

1

5

web high

112.175.242.43

韩国

FALSE

1

5

211.44.183.88

韩国

FALSE

1

4

121.78.175.6

韩国

FALSE

1

4

115.71.3.14

韩国

FALSE

1

4

115.71.21.23

韩国

FALSE

1

4

94.23.35.78

法国

FALSE

1

6

三、涉及到大陆的地址对应的恶意域名数量前10位分析

我们看到跟前一周的记录相比,没有任何变化,我们还将继续观察,看这种平衡的状态何时被打破。

以下是前10位地址列表:

IP地址

位置

是否属于大陆

域名数量

连续存活周期

219.134.132.88

广东省深圳市 电信(龙岗/南山区)

TRUE

386

37

219.150.241.46

河南省南阳市 电信

TRUE

203

37

61.160.239.25

江苏省常州市 电信

TRUE

196

70

221.130.179.36

上海市 移动

TRUE

92

82

125.77.199.30

福建省厦门市 电信

TRUE

43

82

211.100.253.9

北京市 电信通

TRUE

39

122

42.51.16.29

河南省郑州市 景安计算机网络技术有限公司

TRUE

37

25

222.76.217.179

福建省厦门市 电信

TRUE

36

131

183.60.106.54

广东省深圳市 电信

TRUE

34

12

60.190.217.230

浙江省绍兴市 电信

TRUE

33

64

四、涉及到海外的地址对应的恶意域名数量前10位分析

我们看到跟前一周的记录相比,没有任何变化,我们还将继续观察,看这种平衡的状态何时被打破。

以下是前10位地址列表:

IP地址

位置

是否属于大陆

域名数量

连续存活周期

72.8.190.39

美国加利福尼亚州奥兰治县富勒顿市Staminus通信公司

FALSE

301

24

88.198.132.3

德国

FALSE

269

47

216.8.179.23

美国

FALSE

257

37

175.195.249.247

韩国

FALSE

113

11

67.208.74.71

美国

FALSE

112

148

14.33.133.118

韩国

FALSE

110

11

221.150.237.185

韩国

FALSE

108

11

54.72.9.51

美国 新泽西州Merck公司

FALSE

91

18

184.107.53.150

加拿大

FALSE

69

68

216.38.62.18

美国

FALSE

68

119

Written by liuyang