Введение
Пожалуй, самым нетрудоёмким способом монетизации сайта является размещение на его страницах рекламных баннеров, текстовых объявлений, а также блоков различных партнёрских программ, занимающихся скупкой трафика (при помощи PopUp, BodyClick, Iframe и т. д.).
Часто вебмастеры считают, что вредоносный код не может распространяться через такие блоки, поэтому без размышлений добавляют к себе на страницы код, предоставляемый партнёрскими программами.
Яндекс постоянно выявляет случаи распространения вредоносного ПО через блоки партнёрских программ, причём через блоки некоторых из них – существенно чаще, чем через блоки других. Это может происходить из-за того, что злоумышленники заказывают распространение через партнёрские программы контента, который на самом деле является вредоносным кодом, или из-за взлома злоумышленниками серверов партнёрских программ. Бывает, что злоумышленники зарабатывают таким образом на распространении вредоносного ПО, которым управляют другие злоумышленники (PPI).
В интернете есть несколько компаний, которые регулярно проверяют сайты на наличие в них вредоносного кода. Если становится известно, что сайт распространяет вредоносный код, то браузеры, антивирусы и поисковые системы начинают предупреждать об этом своих пользователей.
Например, Яндекс отображает страницы таких сайтов в результатах поиска с пометкой «Сайт может угрожать безопасности вашего компьютера», а также предупреждает об опасных страницах пользователей в новом Firefox 6.0 с сервисами Яндекса, который можно загрузить с этой страницы.
Таким образом, если установить на страницы сайта блок заражённой партнёрской программы, то вместо прибыли можно получить ощутимое уменьшение трафика, числа клиентов и, возможно, ухудшение репутации сайта и компании в целом.
Сайты, адверты и заражённые биржи трафика
Одним из примеров распространения вредоносного кода через партнёрские программы являются программы, построенные на CMS AdminStation. При помощи этой CMS и её модулей можно организовать биржу по скупке и продаже трафика. Некоторые из этих бирж являются заражёнными и распространяют вредоносный код.
Каждому зарегистрированному в партнёрской программе вебмастеру (адверту) сайта, построенного на данной CMS, выделяется уникальный идентификатор, а также набор блоков кода, которые адверт должен добавить на страницы сайта.
Чаще всего вредоносный код распространяется с URL, выданного адверту для выкупа трафика партнёрской сети. При этом используется теги <iframe> или <script> с атрибутом:
src=”http://host/js/if.php?id=”
где:
– уникальный идентификатор адверта, автоматически присваиваемый ему при регистрации в партнёрской программе.
Эти теги могут как присутствовать на странице статически, так и динамически добавляться на неё с помощью Document.Write().
Общую схему распространения вредоносного кода можно представить так:
Рис.1 – Заражение сайтов адвертами, разместивших свои блоки вредоносного кода с заражённых бирж трафика
Статистика заражений
Общая статистика заражений по биржам трафика
Яндекс располагает информацией о случаях заражения компьютеров через блоки более чем со 140 бирж трафика, построенных на CMS AdminStation. Но через блоки 11 из них вредоносный код, по нашим данным, распространяется особенно часто:
- alb-music.ru;
- code-iframe.co.cc;
- gold-wm.ru;
- maroder.info;
- medianaft.ru;
- protrafv2.com;
- royal-traff.ru;
- traffbiz.ath.cx;
- traffbiz.net;
- trfmxk.info;
- wmip.ru.
Рис.2 – Относительное количество случаев выявления вредоносного кода в блоках бирж трафика
Статистика заражений по адвертам, наиболее активно распространяющим вредоносный код
Ниже приведена статистика пяти «лидирующих» идентификаторов адвертов на каждой из пяти «лидирующих» заражённых бирж трафика (за исключением maroder.info, так как этот хост на момент проверки 28.07.2011 был недоступен).
Рис.3 – Относительное количество случаев выявления вредоносного кода
в блоках бирж трафика, размещённых различными адвертами
Биржи трафика, переставшие распространять вредоносный код
За прошедший месяц некоторые из бирж трафика, указанных выше, перестали распространять вредоносный код.
Рис.4 – График относительного количества случаев выявления вредоносного кода в блоках бирж трафика,
прекративших распространение вредоносного кода с 22.06.2011 по 28.07.2011
Видно, что распространение вредоносного кода в блоках с traffbiz.net резко упало во вторую неделю июля и стремится к нулю. Зато резко возросло количество вредоносного кода в блоках с traffbiz.ath.cx, распространение вредоносного кода с которых продлилось шесть дней — с 8 по 14 июля. Распространение вредоносного кода с блоков бирж alb-music.ru и protrafv2.com резко прекратилось в первую неделю июля и также стремится на данный момент к нулю. В блоках с биржи if-web.ru замечено начало распространения вредоносного кода в первую неделю июля, а биржа code-iframe.co.cc резко прекратила распространение вредоносного кода в третью неделю июля, и сейчас с блоков этих бирж код также практически не распространяется.
Биржи трафика, у которых были отмечены пики распространения вредоносного кода
За период наблюдения нами были замечены пики частоты распространения вредоносного кода в блоках с некоторых заражённых бирж трафика.
Рис.5 – График относительного количества случаев выявления вредоносного кода в блоках бирж трафика,
у которых отмечались пики вредоносной активности c 22 июня по 28 июля
В первую неделю июля были зафиксированы пики распространения вредоносного кода через блоки с traffbiz.net и maroder.info, во второй неделе июля пики пришлись на хосты traffbiz.atx.cx и maroder.info. Третья неделя июля отмечена резким проявлением вредоносной активности сразу нескольких бирж заражённого трафика, таких как medianaft.ru, gold-wm.ru, maroder.info, trfxk.info.
Биржи трафика, продолжающие активно распространять вредоносный код
Существуют и биржи трафика, через блоки которых вредоносный код активно распространялся в прошлом и продолжает распространяться в настоящее время.
Рис.6 – График относительного количества случаев выявления вредоносного кода в блоках бирж трафика,
через которые постоянно распространяется вредоносный код
Распространяемые вредоносные программы
Вредоносный код, распространяемый через биржи трафика, пытается использовать уязвимости в популярных браузерах и их плагинах. При удачной эксплуатации хотя бы одной из уязвимостей на компьютер пользователя загружается и устанавливается вредоносная программа.
Через блоки различных адвертов распространяются вредоносные программы, которые очень сильно отличаются по функциональности. Кроме того, в блоках некоторых из заражённых бирж трафика видна специализация на распространении того или иного класса вредоносных программ. Например, вредоносный код, распространяемый через блоки с wmip.ru, занимается вымогательством денег посредством блокировки доступов к различным популярным ресурсам или работы всей операционной системы в целом.
Далее описаны некоторые из наиболее активно распространяемых злоумышленниками вредоносных программ.
Мошенник
Один из вирусов блокирует доступ к таким популярным социальным сетям, как odnoklassniki.ru и vk.com. По данным virustotal.com, на момент проверки, 28 июля, он детектировался всего двумя антивирусами из 43.
Хеши семпла:
- MD5: 340401a22e63636197b67c1d4b82319f;
- SHA1: 04a6851876a1de19ae8140cc896f7aa62c3a4824;
- SHA256: 585c40c45f10a9c7085ad315d
3e918740713360803ab31d7cc 73237bebfd464a.
Рис.7 – Блокировка доступа к сайту www.odnoklassniki.ru
Блокер
Другой, не менее опасный вирус, распространяемый через wmip.ru, блокирует работу операционной системы в целом. На момент проверки, 28 июля, по данным virustotal.com, он детектировался десятью антивирусами из 43.
Хеши семпла, блокирующего работу операционной системы:
- MD5: 45deaad9607a367e6def85a7940004db;
- SHA1: 488488f87dc7a7b56915d5b4e8b65f965d920205;
- SHA256: 9d44f8754d2618384f3b25b85
06a56c49aa7eed5c235f38683 94d4bb51a1a2e3.
Рис.8 – Блокировка работы операционной системы
Банковский троян
Из обнаруженного вредоносного ПО наибольшую опасность представляет банковский троян (формграббер) под названием Carberp по классификации Symantec. Он передаёт злоумышленникам учётные записи в системах клиент-банк, в результате чего злоумышленники получают доступ к банковским счетам пользователей. Троян распространяется через хост gold-wm.ru, и на момент проверки 28 июля, по данным virustotal.com, выявлялся 24 антивирусами из 43.
Carberp — это модульный формграббер, который имеет в своем наборе модули (stopav.plug, passw.plug, miniav.plug) для отключения ряда антивирусов, кражи паролей и даже для удаления своих конкурентов – таких вирусов, как:
- Limbo;
- ZeuS;
- Barracuda;
- SpyEye.
Рекомендации
При использовании бирж трафика вебмастер очень часто сам добавляет блок заражённой партнёрской программы на страницы своего сайта. Поэтому основная рекомендация для вебмастеров в данном случае — сначала изучить репутацию сети, и только после этого размещать у себя её блоки. В некоторых случаях вредоносный код может попадать на страницы сайта из блоков известных, обладающих хорошей репутацией рекламных сетей, но это скорее единичные ошибки этих сетей, а не закономерность и уж точно не основной бизнес.
Если блок с вредоносным кодом добавил кто-то другой, как от него избавиться описано в статье Как удалить вредоносный код на стороне сервера. Если ваш компьютер заразился, ознакомьтесь со статьей Бесплатные антивирусы и утилиты для лечения компьютера. Также рекомендуем ознакомиться со статьей Как обезопасить свой компьютер при работе в интернете.
Чем больше у нас примеров вредоносного кода – тем больше у нас информации, чтобы помочь вам и другим вебмастерам. Потому если вы найдёте вредоносный код на своём веб-сервере или рабочей станции – пришлите его нам для анализа по адресу virus-samples@yandex-team.ru. Как это сделать – написано в статье Как отправить вредоносный код специалистам Яндекса на анализ.
Команда безопасного поиска Яндекса