Мы продолжаем публиковать статистику по наиболее опасным провайдерам постсоветского пространства, начатую в прошлом месяце статьёй Опасные провайдеры Рунета. За месяц произошли определённые изменения в списке лидеров: два провайдера вышли из этого списка, однако ещё три новых имени пришлось в него добавить. Общая вредоносность также несколько увеличилась - с 5,89% до 6,00%. Впрочем, возможно это связано с уменьшением общего количества сайтов летом.
Теперь список наиболее опасных провайдеров выглядит так (cм. таблицу 1).
Таблица 1: Опасные провайдеры СНГ. Источник данных: Google Safe Browsing.
Сравнение с таблицей прошлого месяца показывает выпадение из списка двух вредоносных провайдеров: "ГазТранзитСтройИнфо", о котором мы уже писали в статье Серебряная пуля Интернет, и Omega Tele.com, сотрудники которого, возможно, нашли в себе силы самостоятельно избавиться от вредоносных влияний из-вне. В прошлом месяце у этих провайдеров было более 20 сайтов, из которых 9 и 7 серверов соответственно активно распространяли вредоносное ПО. В этом месяце сайтов в обоих автономных системах осталось всего несколько штук, но зато они являются чистыми и не участвуют в распространении вредоносов. Резкое сокращение числа сайтов заметно и у провайдера Tetracom - c 23 в прошлом месяце до 1 в текущем, однако компании не удалось избежать участия в сети распространения вредоносных программ, и в результате уровень вредоносности данного провайдера сильно увеличился - с последнего места на третье.
Следует отметить, что по представленным в Safe Browse данным сложно отличить специальных провайдеров, созданных для хостинга вредоносов, от небольших провайдеров с плохим администрированием или отбором клиентов для хостинга. Для этого лучше использовать данные из других источников, например, о структуре пиринговых соглашений - эти данные можно получить на сайте www.robtex.com. В частности, на этом сайте можно найти информацию о том, что лидеры текущего рейтинга - провайдеры TopNET, Vlaf и Tetracom - входят в пиринговую группу под названием Vline, лидером которой является другой вредоносный провайдер VLineTelecom. В эту же группу входят и выбывший из списка Omega Tele.com, и новый участник списка Uninet - он попал к вредоносным провайдерам только в этом месяце.
Это наводит на мысль, что провайдер VLineTelecom является апстримом для нескольких "непотопляемых" хостинговых площадок, каким был в начале года "Трояк" - о его блокировке в апреле этого года мы уже писали в статье Серебряная пуля Интернет. Однако теперь, похоже, вредоносная инфраструктура концентрируется вокруг московского провайдера VLineTelecom. Это провайдер имеет трех апстримов: международного Anders Business Group, челябинского провайдера ComLine и московского оператора Telenet. Причем на последнего приходиться до 85% трафика. Возможно, если бы удалось отключить от Сети VLineTelecom российская часть Интернет стала бы чище, поскольку с ним будут отключены от Интернет ещё несколько ядовитых площадок.
Беда только в том, что вредоносные провайдеры постоянно возрождаются под другими именами и номерами автономных систем, причём не всегда их удается быстро обнаружить. Например, лидер нынешнего рейтинга TopNET, судя по всему, существует достаточно давно, однако в прошлом рейтинге он не участвовал - мы не смогли его обнаружить просто анализируя данные о структуре Рунета. Вполне возможно, что за пределами нашего текущего отчета также остались какие-нибудь сильно вредоносные провайдеры - пока мы не можем гарантировать, что досконально знаем всю инфраструктуру Рунета, однако будем стараться её выяснить.
Впрочем, ещё два новых вредоносных провайдера - молдавский Uninet и украинский 0X2A - были в предыдущем рейтинге с хорошими показателями (их вредоносность была 0 и 0,36 соответственно), однако за последний месяц что-то у этих компаний поменялось в худшую сторону. Тем не менее, общее количество вредоносных провайдеров увеличилось всего лишь на одного представителя - 13 из 143 найденных нами автономных систем. Таким образом, по количеству автономных систем вредоносными оказываются чуть меньше 10%. Впрочем, к счастью, сами эти автономные системы обычно не содержат большого количества IP-адресов.