Не так давно мы рассказывали о том, как вредоносное ПО распространяется через биржи трафика. Сегодня мы хотим обратить внимание на еще одну заражённую биржу – партнёрскую программу wmip.ru.
Рис.1 – Код блока для всплывающей рекламы в панели адверта wmip.ru
Как видно из рисунка, блок, добавляемый на страницу, представляет собой код на JavaScript, который действует в зависимости выбранного типа рекламы. Один из блоков, участвующих в распространении вредоносного ПО, показан на рисунке ниже:
Рис.2 – Оригинальный JavaScript-код для блока тизерной рекламы
После выполнения блока, показанного на рисунке 2, выполняется следующий код:
Рис.3 – Unescape-вариант JavaScript-кода для блока тизерной рекламы
Код из блока, показанного на рисунке 3, помимо рекламы, запускает также команду:
Рис.4 – Вредоносный JavaScript-код, дописываемый к блокам wmip.ru
Команда, показанная на рисунке 4, дописывает и выполняет ещё одну команду. Эта команда, в свою очередь, дописывает в документ блок, подгружающий скрипт с эксплойт-пака.
Рис.5 – Вредоносный JavaScript-код, полученный с хоста deloest.su
Скрипт с эксплойт-пака пытается использовать уязвимости в популярных браузерах и плагинах. При удачной эксплуатации хотя бы одной из уязвимостей вредоносное ПО устанавливается на компьютер пользователя.
Важно помнить: когда вебмастер размещает на своём сайте чужой, динамически подгружаемый контент, он теряет часть контроля над тем, что будет передаваться на компьютер пользователя при посещении его сайта.
Поэтому к выбору партнёрских программ и рекламных сетей нужно подходить очень тщательно. Обращайте внимание на то, как их владельцы относятся к безопасности, проверяют ли распространяемый через их систему контент, выясняйте, почему они платят за показы больше других.
Злоумышленники часто используют партнёрские программы для распространения вредоносного кода. Поэтому если партнёрская программа дорожит клиентами, партнёрами и репутацией, то мы рекомендуем её создателям проверять размещаемый рекламный контент и ссылки на сайты. Например, для такой проверки можно использовать информацию о заражённых сайтах, доступную через Safe Browsing API Яндекса.
Команда Безопасного Поиска Яндекса