Блог о безопасности

Распространение вредоносного кода через блоки партнёрских программ

Введение


Пожалуй, самым нетрудоёмким способом монетизации сайта является размещение на его страницах рекламных баннеров, текстовых объявлений, а также блоков различных партнёрских программ, занимающихся скупкой трафика (при помощи PopUp, BodyClick, Iframe и т. д.).

Часто вебмастеры считают, что вредоносный код не может распространяться через такие блоки, поэтому без размышлений добавляют к себе на страницы код, предоставляемый партнёрскими программами.

Яндекс постоянно выявляет случаи распространения вредоносного ПО через блоки партнёрских программ, причём через блоки некоторых из них – существенно чаще, чем через блоки других. Это может происходить из-за того, что злоумышленники заказывают распространение через партнёрские программы контента, который на самом деле является вредоносным кодом, или из-за взлома злоумышленниками серверов партнёрских программ. Бывает, что злоумышленники зарабатывают таким образом на распространении вредоносного ПО, которым управляют другие злоумышленники (PPI).

В интернете есть несколько компаний, которые регулярно проверяют сайты на наличие в них вредоносного кода. Если становится известно, что сайт распространяет вредоносный код, то браузеры, антивирусы и поисковые системы начинают предупреждать об этом своих пользователей.

Например, Яндекс отображает страницы таких сайтов в результатах поиска с пометкой «Сайт может угрожать безопасности вашего компьютера», а также предупреждает об опасных страницах пользователей в новом Firefox 6.0 с сервисами Яндекса, который можно загрузить с этой страницы.

Таким образом, если установить на страницы сайта блок заражённой партнёрской программы, то вместо прибыли можно получить ощутимое уменьшение трафика, числа клиентов и, возможно, ухудшение репутации сайта и компании в целом.


Сайты, адверты и заражённые биржи трафика


Одним из примеров распространения вредоносного кода через партнёрские программы являются программы, построенные на CMS AdminStation. При помощи этой CMS и её модулей можно организовать биржу по скупке и продаже трафика. Некоторые из этих бирж являются заражёнными и распространяют вредоносный код.
Каждому зарегистрированному в партнёрской программе вебмастеру (адверту) сайта, построенного на данной CMS, выделяется уникальный идентификатор, а также набор блоков кода, которые адверт должен добавить на страницы сайта.
Чаще всего вредоносный код распространяется с URL, выданного адверту для выкупа трафика партнёрской сети. При этом используется теги <iframe> или <script> с атрибутом:
 

src=”http://host/js/if.php?id=”


где:
 

– уникальный идентификатор адверта, автоматически присваиваемый ему при регистрации в партнёрской программе.



Эти теги могут как присутствовать на странице статически, так и динамически добавляться на неё с помощью Document.Write().

Общую схему распространения вредоносного кода можно представить так:





Рис.1 – Заражение сайтов адвертами, разместивших свои блоки вредоносного кода с заражённых бирж трафика


Статистика заражений

Общая статистика заражений по биржам трафика


Яндекс располагает информацией о случаях заражения компьютеров через блоки более чем со 140 бирж трафика, построенных на CMS AdminStation. Но через блоки 11 из них вредоносный код, по нашим данным, распространяется особенно часто:

  • alb-music.ru;
  • code-iframe.co.cc;
  • gold-wm.ru;
  • maroder.info;
  • medianaft.ru;
  • protrafv2.com;
  • royal-traff.ru;
  • traffbiz.ath.cx;
  • traffbiz.net;
  • trfmxk.info;
  • wmip.ru.



Рис.2 – Относительное количество случаев выявления вредоносного кода в блоках бирж трафика

На страницы, которые участвуют в распространении вредоносного кода, блоки с таким кодом устанавливают разные адверты. Для каждой из заражённых бирж трафика в распространении вредоносного кода «лидируют» адверты с различными идентификаторами.


Статистика заражений по адвертам, наиболее активно распространяющим вредоносный код


Ниже приведена статистика пяти «лидирующих» идентификаторов адвертов на каждой из пяти «лидирующих» заражённых бирж трафика (за исключением maroder.info, так как этот хост на момент проверки 28.07.2011 был недоступен).




Рис.3 – Относительное количество случаев выявления вредоносного кода
в блоках бирж трафика, размещённых различными адвертами

Адверт с идентификатором 5 на medianaft.ru пытается распространять вредоносный код чаще всего и практически всегда перенаправляет трафик адверту с идентификатором 9 на royal-traff.ru. Зависимостей между адвертами, которые лидируют в количестве переходов на заражённые биржи трафика traffbiz.net, wmip.ru и gold-wm.ru, замечено не было.


Биржи трафика, переставшие распространять вредоносный код


За прошедший месяц некоторые из бирж трафика, указанных выше, перестали распространять вредоносный код.




Рис.4 – График относительного количества случаев выявления вредоносного кода в блоках бирж трафика,
прекративших распространение вредоносного кода с 22.06.2011 по 28.07.2011


Видно, что распространение вредоносного кода в блоках с traffbiz.net резко упало во вторую неделю июля и стремится к нулю. Зато резко возросло количество вредоносного кода в блоках с traffbiz.ath.cx, распространение вредоносного кода с которых продлилось шесть дней — с 8 по 14 июля. Распространение вредоносного кода с блоков бирж alb-music.ru и protrafv2.com резко прекратилось в первую неделю июля и также стремится на данный момент к нулю. В блоках с биржи if-web.ru замечено начало распространения вредоносного кода в первую неделю июля, а биржа code-iframe.co.cc резко прекратила распространение вредоносного кода в третью неделю июля, и сейчас с блоков этих бирж код также практически не распространяется.


Биржи трафика, у которых были отмечены пики распространения вредоносного кода


За период наблюдения нами были замечены пики частоты распространения вредоносного кода в блоках с некоторых заражённых бирж трафика.




Рис.5 – График относительного количества случаев выявления вредоносного кода в блоках бирж трафика,
у которых отмечались пики вредоносной активности c 22 июня по 28 июля



В первую неделю июля были зафиксированы пики распространения вредоносного кода через блоки с traffbiz.net и maroder.info, во второй неделе июля пики пришлись на хосты traffbiz.atx.cx и maroder.info. Третья неделя июля отмечена резким проявлением вредоносной активности сразу нескольких бирж заражённого трафика, таких как medianaft.ru, gold-wm.ru, maroder.info, trfxk.info.


Биржи трафика, продолжающие активно распространять вредоносный код


Существуют и биржи трафика, через блоки которых вредоносный код активно распространялся в прошлом и продолжает распространяться в настоящее время.




Рис.6 – График относительного количества случаев выявления вредоносного кода в блоках бирж трафика,
через которые постоянно распространяется вредоносный код


Распространяемые вредоносные программы


Вредоносный код, распространяемый через биржи трафика, пытается использовать уязвимости в популярных браузерах и их плагинах. При удачной эксплуатации хотя бы одной из уязвимостей на компьютер пользователя загружается и устанавливается вредоносная программа.
Через блоки различных адвертов распространяются вредоносные программы, которые очень сильно отличаются по функциональности. Кроме того, в блоках некоторых из заражённых бирж трафика видна специализация на распространении того или иного класса вредоносных программ. Например, вредоносный код, распространяемый через блоки с wmip.ru, занимается вымогательством денег посредством блокировки доступов к различным популярным ресурсам или работы всей операционной системы в целом.
Далее описаны некоторые из наиболее активно распространяемых злоумышленниками вредоносных программ.



Мошенник


Один из вирусов блокирует доступ к таким популярным социальным сетям, как odnoklassniki.ru и vk.com. По данным virustotal.com, на момент проверки, 28 июля, он детектировался всего двумя антивирусами из 43.
Хеши семпла:

  • MD5: 340401a22e63636197b67c1d4b82319f;
  • SHA1: 04a6851876a1de19ae8140cc896f7aa62c3a4824;
  • SHA256: 585c40c45f10a9c7085ad315d3e918740713360803ab31d7cc73237bebfd464a.



Рис.7 – Блокировка доступа к сайту www.odnoklassniki.ru


Блокер


Другой, не менее опасный вирус, распространяемый через wmip.ru, блокирует работу операционной системы в целом. На момент проверки, 28 июля, по данным virustotal.com, он детектировался десятью антивирусами из 43.
Хеши семпла, блокирующего работу операционной системы:

  • MD5: 45deaad9607a367e6def85a7940004db;
  • SHA1: 488488f87dc7a7b56915d5b4e8b65f965d920205;
  • SHA256: 9d44f8754d2618384f3b25b8506a56c49aa7eed5c235f3868394d4bb51a1a2e3.




Рис.8 – Блокировка работы операционной системы


Банковский троян


Из обнаруженного вредоносного ПО наибольшую опасность представляет банковский троян (формграббер) под названием Carberp по классификации Symantec. Он передаёт злоумышленникам учётные записи в системах клиент-банк, в результате чего злоумышленники получают доступ к банковским счетам пользователей. Троян распространяется через хост gold-wm.ru, и на момент проверки 28 июля, по данным virustotal.com, выявлялся 24 антивирусами из 43.

Carberp — это модульный формграббер, который имеет в своем наборе модули (stopav.plug, passw.plug, miniav.plug) для отключения ряда антивирусов, кражи паролей и даже для удаления своих конкурентов – таких вирусов, как:

  • Limbo;
  • ZeuS;
  • Barracuda;
  • SpyEye.


Рекомендации


При использовании бирж трафика вебмастер очень часто сам добавляет блок заражённой партнёрской программы на страницы своего сайта. Поэтому основная рекомендация для вебмастеров в данном случае — сначала изучить репутацию сети, и только после этого размещать у себя её блоки. В некоторых случаях вредоносный код может попадать на страницы сайта из блоков известных, обладающих хорошей репутацией рекламных сетей, но это скорее единичные ошибки этих сетей, а не закономерность и уж точно не основной бизнес.

Если блок с вредоносным кодом добавил кто-то другой, как от него избавиться описано в статье Как удалить вредоносный код на стороне сервера. Если ваш компьютер заразился, ознакомьтесь со статьей Бесплатные антивирусы и утилиты для лечения компьютера. Также рекомендуем ознакомиться со статьей Как обезопасить свой компьютер при работе в интернете.

Чем больше у нас примеров вредоносного кода – тем больше у нас информации, чтобы помочь вам и другим вебмастерам. Потому если вы найдёте вредоносный код на своём веб-сервере или рабочей станции – пришлите его нам для анализа по адресу virus-samples@yandex-team.ru. Как это сделать – написано в статье Как отправить вредоносный код специалистам Яндекса на анализ.

Команда безопасного поиска Яндекса

20 комментариев

Фигасе, пироги-пироговочи-ростроповичи o_O

Лёха Бутылкус R3PLN
28 января 2016, 03:13

Жииирный такой намек =)

В этот список можете смело пихнуть _http://pop-bazar.net_  2 сэмпла скриптов со скринами вышлю 
Спасибо! Получили, проанализируем.

а еще тег cut , который позволяет не забивать пол ленты одним постом

ПроСтудио
28 января 2016, 03:13

Спасибо очень полезно..жаль что в России такой гадости в сети больше всего

Можете порекомендовать сервисы для проверки сайта целиком. Ждать, когда могучий Яндекс решит проверить не всегда бывает корректно.

 Были случаи, когда антивирус ругался на страницы сайта, код вируса в них действительно присутствовал (причём не один день), но Яндекс молчал. Правда при этом сайт был заражён лишь частично и главная была чистой. Что является тревожным звонком для проверки???

 

Существуют платные системы проверки сайтов, например, http://www.dasient.com/product-services/web-malware-protection/ и http://verity.paladiononline.com/ , а также бесплатные, например, http://www.siteguard.ru/. Отзывы по поводу их качества лучше посмотреть в открытых источниках.

Если есть подозрение, что на странице есть вредоносный код, а Яндекс об этом не предупреждает – напишите об этом, пожалуйста, на safesearch@yandex-team.ru, а если нашли серверный вредоносный код – присылайте его на virus-samples@yandex-team.ru.

Тревожными звонками являются:
  1. жалобы пользователей, предупреждения (даже те, которые выглядят как ложные срабатывания), которые выдают браузеры, различные их плагины (например, http://www.mywot.com/), системы родительского контроля и обычные антивирусы при их посещении;
  2. аномалии в метриках сайта;
  3. появление у в браузерной и серверной части кода, авторство которого не установлено (особенно до или после страницы), неожиданные даты изменения файлов, изменение их размера (особенно одинаковое для нескольких страниц) и контрольных сумм, следы в различных логах, которые говорят, что сайт кто-то изменял в необычное время.

Благодарю за подробный ответ. К сожалению код не сохранил, но теперь хоть знаю куда отправлять его на изучение.

Ну да, есть такое дело.... Я когда-то, по своей глупости, разместил аналогичный код продажи скрытого трафика на своем сайте Последние новости и вовремя мне Яндекс сообщил о том, что у меня на сайте есть вредоносный код. Я сразу смыкнул в чем дело... Убрал этот код с сайта - и все стало на свои места.

Будьте внимательны при выборе партнера!

это намёк чтобы все манетизировали через яндекс.директ? ))))))

Так яндекс давно уже монетезирует так доходы ;)

Плохо разбираюсь, не знаю даже куда зайти, чтобы удалить вредоносный код. Помогите пожалуйста

Да, и что делать удалить код и все... а бабки же платят за трафф биржи!:(

znakomstva-v-borovichah
28 января 2016, 03:13

А я решил отказаться от бирж трафика

Сейчас появилась неплохая бесплатная альтернатива для защиты сайта от вирусов, ее принцип в мониторинге измений файлов на сайте и сообщении о несанкционированных изменениях.

Вчера на своем сайте http://idealnaja.ru установила информер gnezdo.ru/

Сегодня сайт уже заблокирован яндексом.

Проверила на http://www.siteguard.ru/ - точно информер виноват!

Удалила. Посещаемость практически на нулях.

Как долго будут длиться санкции яндекса и что нужно предпринять, чтобы вернуть блогу доброе имя?

 

 

 

 

 

 

 

 

Из-за партнерки Alawar мой сайт яндекс пометил как потенциально опасный и заблокировал доступ с поиска!

Посмотрел во вкладке Безопасность - и там яндекс объявил несколько страниц с их играми - как страницы, содержащие вредоносный код (при чем кроме ссылки на exe с их игрой - на странице более ни чего не было, да и другие страницы на сайте не попались). Удалил все страницы с играми, отправил заявку в яндекс, вот теперь жду ответа...Более с Alawar работать нет желания!

feedfastchetpa1984
28 января 2016, 03:13
Еще монетизация iframe трафика инвайтфою.ru

ДОбрый день! Если кто может помочь помогитее. На сайте появился рекламный блок от гугла , но это точно не я его добавил. http://вибер-скачать-бесплатно.рф/category/stikery-viber в сайдабе справа синяя ссылка. Как его можно обнаружить? в каком файле он прописался. Спасибо заранее