Блог о безопасности

сентябрь 2012
Распространение вредоносного ПО через партнёрскую программу wmip.ru
21 сентября 2012, 18:11

Не так давно мы рассказывали о том, как вредоносное ПО распространяется через биржи трафика. Сегодня мы хотим обратить внимание на еще одну заражённую биржу – партнёрскую программу wmip.ru.

 

Партнёрская программа wmip.ru позволяет рекламодателям покупать, а вебмастерам – продавать трафик. Чтобы продать трафик, вебмастер должен зарегистрироваться в системе, выбрать тип рекламы и разместить специальный код на страницах своего сайта. Интерфейс выбора типа рекламы выглядит так:



Рис.1 – Код блока для всплывающей рекламы в панели адверта wmip.ru

Как видно из рисунка, блок, добавляемый на страницу, представляет собой код на JavaScript, который действует в зависимости выбранного типа рекламы. Один из блоков, участвующих в распространении вредоносного ПО, показан на рисунке ниже:



Рис.2 – Оригинальный JavaScript-код для блока тизерной рекламы

После выполнения блока, показанного на рисунке 2, выполняется следующий код:



Рис.3 – Unescape-вариант JavaScript-кода для блока тизерной рекламы

Код из блока, показанного на рисунке 3, помимо рекламы, запускает также команду:



Рис.4 – Вредоносный JavaScript-код, дописываемый к блокам wmip.ru

Команда, показанная на рисунке 4, дописывает и выполняет ещё одну команду. Эта команда, в свою очередь, дописывает в документ блок, подгружающий скрипт с эксплойт-пака.



Рис.5 – Вредоносный JavaScript-код, полученный с хоста deloest.su

Скрипт с эксплойт-пака пытается использовать уязвимости в популярных браузерах и плагинах. При удачной эксплуатации хотя бы одной из уязвимостей вредоносное ПО устанавливается на компьютер пользователя.

 
Важно помнить: когда вебмастер размещает на своём сайте чужой, динамически подгружаемый контент, он теряет часть контроля над тем, что будет передаваться на компьютер пользователя при посещении его сайта.

Поэтому к выбору партнёрских программ и рекламных сетей нужно подходить очень тщательно. Обращайте внимание на то, как их владельцы относятся к безопасности, проверяют ли распространяемый через их систему контент, выясняйте, почему они платят за показы больше других.

Злоумышленники часто используют партнёрские программы для распространения вредоносного кода. Поэтому если партнёрская программа дорожит клиентами, партнёрами и репутацией, то мы рекомендуем её создателям проверять размещаемый рекламный контент и ссылки на сайты. Например, для такой проверки можно использовать информацию о заражённых сайтах, доступную через Safe Browsing API Яндекса.

 

Команда Безопасного Поиска Яндекса

3 комментария
Скрытые ссылки на страницах скомпрометированных сайтов
27 сентября 2012, 20:35
Злоумышленники могут монетизировать взлом сайтов и распространение заражённых CMS как заражая компьютеры посетителей, так и за счёт black hat SEO. Например, на страницах сайта могут размещаться скрытые ссылки, что приводит к временному исключению таких страниц из поиска. Соблюдение простых правил и использование CMS из доверенных источников существенно снижает риск того, что ваш сайт будет скомпрометирован.
Скрытые ссылки

Сегодня я расскажу о скрытых ссылках – одном из методов поискового спама, который может появиться на страницах сайта без Вашего ведома.

Отличительными чертами такого содержимого является появление невидимых тегов div или a, со стилями hidden, display:none, overflow:hidden. Анкоры ссылок представляют из себя поисковые запросы, соответствующие сайтам злоумышленников. Обычно они посвящены продаже фармакологической продукции, гаджетов, одежды или, например, реплик дорогих часов. Выглядит это примерно так:

Размещая на хороших ресурсах ссылки на свой домен, злоумышленники надеются повысить доверие поисковой системы. Данный метод спама рассчитан исключительно на индексирующих роботов, злоумышленники не заинтересованы в том, чтобы вебмастер или посетители скомпрометированного сайта заметили скрытый контент. Существует разновидность реализации данного метода спама, при котором код скрытого текста вообще не отображается на странице и виден только роботам.

 

Механизм размещения скрытых ссылок.
В скрипты скомпрометированной CMS дописывается вредоносный код, который (опционально) детектирует юзер-агент посетителя. При загрузке страницы скрипт отправляет запрос на удаленный сервер и получает в ответ набор ссылок для размещения. Ссылки отображаются на странице сайта в виде скрытого текста.

Узнать о подобной проблеме Вы можете, получив автоматическое уведомление с примерами страниц в сервисе Яндекс.Вебмастере. Страницы, содержащие скрытый текст, временно исключаются из поиска.

Если скрытый текст отображается непосредственно в коде страниц, недостаточно просто удалить его. Нужно решать проблему на стороне сервера.

Если Вы проверили код страниц и не обнаружили скрытого текста, к сожалению, это еще не значит, что проблема решилась сама собой. Возможны две причины подобной ситуации:

  • вредоносный скрипт осуществляет проверку юзер-агента и дописывает скрытый текст только для роботов поисковых систем;
  • на момент загрузки Вами проблемных страниц удаленный сервер злоумышленников не ответил или ссылки на данный момент с сервера злоумышленников не раздаются.


В любом случае, при получении уведомления следует воспользоваться нашей инструкцией по удалению вредоносного кода на серверной стороне.


После удаления вебмастером скрытого текста робот перепроверит проблемные страницы, отследит положительные изменения и страницы восстановятся в поиске автоматически.


В заключение отмечу, что по данным команды Безопасного поиска Яндекса прямо сейчас в базе находится более 25 000 сайтов и более 430 000 страниц, которые содержат скрытые ссылки.


Пожалуйста, уделяйте внимание безопасности Вашего ресурса.

1 комментарий