Блог о безопасности

Распространение вредоносного ПО через партнёрскую программу wmip.ru

21 сентября 2012, 18:11

Не так давно мы рассказывали о том, как вредоносное ПО распространяется через биржи трафика. Сегодня мы хотим обратить внимание на еще одну заражённую биржу – партнёрскую программу wmip.ru.

 

Партнёрская программа wmip.ru позволяет рекламодателям покупать, а вебмастерам – продавать трафик. Чтобы продать трафик, вебмастер должен зарегистрироваться в системе, выбрать тип рекламы и разместить специальный код на страницах своего сайта. Интерфейс выбора типа рекламы выглядит так:



Рис.1 – Код блока для всплывающей рекламы в панели адверта wmip.ru

Как видно из рисунка, блок, добавляемый на страницу, представляет собой код на JavaScript, который действует в зависимости выбранного типа рекламы. Один из блоков, участвующих в распространении вредоносного ПО, показан на рисунке ниже:



Рис.2 – Оригинальный JavaScript-код для блока тизерной рекламы

После выполнения блока, показанного на рисунке 2, выполняется следующий код:



Рис.3 – Unescape-вариант JavaScript-кода для блока тизерной рекламы

Код из блока, показанного на рисунке 3, помимо рекламы, запускает также команду:



Рис.4 – Вредоносный JavaScript-код, дописываемый к блокам wmip.ru

Команда, показанная на рисунке 4, дописывает и выполняет ещё одну команду. Эта команда, в свою очередь, дописывает в документ блок, подгружающий скрипт с эксплойт-пака.



Рис.5 – Вредоносный JavaScript-код, полученный с хоста deloest.su

Скрипт с эксплойт-пака пытается использовать уязвимости в популярных браузерах и плагинах. При удачной эксплуатации хотя бы одной из уязвимостей вредоносное ПО устанавливается на компьютер пользователя.

 
Важно помнить: когда вебмастер размещает на своём сайте чужой, динамически подгружаемый контент, он теряет часть контроля над тем, что будет передаваться на компьютер пользователя при посещении его сайта.

Поэтому к выбору партнёрских программ и рекламных сетей нужно подходить очень тщательно. Обращайте внимание на то, как их владельцы относятся к безопасности, проверяют ли распространяемый через их систему контент, выясняйте, почему они платят за показы больше других.

Злоумышленники часто используют партнёрские программы для распространения вредоносного кода. Поэтому если партнёрская программа дорожит клиентами, партнёрами и репутацией, то мы рекомендуем её создателям проверять размещаемый рекламный контент и ссылки на сайты. Например, для такой проверки можно использовать информацию о заражённых сайтах, доступную через Safe Browsing API Яндекса.

 

Команда Безопасного Поиска Яндекса

3 комментария
Подписаться на комментарии к посту

Вот вам ещё типа партнёрка самописная типа сапы. smart-exchange.com Народ дурят. Скупаю ссылки на сапе и продают дуракам кто поставил их скрипт )))

Такое чудо видили ? Сайты грабберы Работают на отном index.php 

Вот живой пример http://null-dle.ru/ И таких очень много По маске отрыть в поиске можно

 

$options = curl_init();
    curl_setopt($options,CURLOPT_URL,'http://site.ru');
    curl_setopt($options,CURLOPT_USERAGENT,'Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.3) Gecko/555121221 Firefox/4.0.0');
    curl_setopt($options,CURLOPT_TIMEOUT,60);// максимальное время выполнения операции в секундах
    curl_setopt($options,CURLOPT_AUTOREFERER,1);// автоматически ставить REFERER
    curl_setopt($options,CURLOPT_SSL_VERIFYPEER,0);// отключить подстановку сертификатов
    curl_setopt($options,CURLOPT_SSL_VERIFYHOST,0);// отключение проверки ssl хоста
    curl_setopt($options,CURLOPT_FOLLOWLOCATION,0);// отключение проверки ssl хоста

curl_setopt($options,CURLOPT_HEADER,0);// при запросе возвращать заголовок сервера (header)
    curl_setopt($options,CURLOPT_RETURNTRANSFER,1);// возвращать результат в переменную
$data = @curl_exec($options);// выполняем запрос с подавлением ошибокs

echo $data;
?>

 

Раньще работал с партнеркой WMIP.RU пока не начал падать траффик. Оказалось что виной всему именно распространяемые WMIP.RU вирусы. Сейчас пользуюсь ADSMARK.US и никаких проблем. Всем рекомендую