Блог Яндекса для вебмастеров

Распространение вредоносных программ через счётчики партнёрской программы

24 октября 2011, 19:18
Один из способов заработать на своём сайте – стать участником партнёрской программы по обмену трафиком и установить на свои страницы счётчик, за показ которого можно получать деньги. К сожалению, веб-мастера не всегда задумываются о том, что контент, подгружаемый из непроверенных источников, может вредить пользователям.

Не все партнёрские программы способны гарантировать безопасность распространяемого через них контента, а некоторые из них целенаправленно используются злоумышленниками, чтобы заражать компьютеры посетителей сайтов-партнёров. В этом случае кратковременный заработок веб-мастера, участвующего в партнёрской программе, может привести к заметному снижению посещаемости его сайта.Один из способов заработать на своём сайте – стать участником партнёрской программы по обмену трафиком и установить на свои страницы счётчик, за показ которого можно получать деньги. К сожалению, вебмастеры не всегда задумываются о том, что контент, подгружаемый из непроверенных источников, может вредить пользователям.

Не все партнёрские программы способны гарантировать безопасность распространяемого через них контента, а некоторые из них целенаправленно используются злоумышленниками, чтобы заражать компьютеры посетителей сайтов-партнёров. В этом случае кратковременный заработок вебмастера, участвующего в партнёрской программе, может привести к заметному снижению посещаемости его сайта.

Мы уже описывали проблему, вызванную партнёрскими программами для выкупа IFRAME-трафика, построенными на CMS AdminStation. В этом посте мы хотели бы обратить внимание на проблему распространения вредоносного кода через счётчик одной из бирж трафика, которые тогда использовали AdminStation – партнёрской программы traffbiz.ru.

Партнёрская система traffbiz.ru позволяет продавать и покупать трафик. Для этого вебмастер должен зарегистрироваться в системе и на специальной странице  добавить в неё свой сайт. В дальнейшем ему предлагается выбрать счётчик и установить на страницы своего сайта код, который в некоторых случаях ведёт себя как вредоносный. Интерфейс выбора вредоносного счётчика выглядит так:



В настоящее время Яндексу известно более 4100 сайтов, которые используют traffbiz.ru и добавили код таких счётчиков на свои страницы.

Код с traffbiz.ru работает следующим образом:
  1. JavaScript №1 из кода счётчика при выполнении дописывает на страницу JavaScript №2;
  2. JavaScript №2 при выполнении подгружает на страницу JavaScript №3;
  3. JavaScript №3 отображает счётчик или баннер;
  4. JavaScript №3 (в некоторых случаях) подгружает и запускает вредоносный код.

В распространении вредоносного кода через счётчики traffbiz.ru за последние две недели были замечены следующие хосты:

  • 1sbiz.ru;
  • 4sbiz.ru;
  • 5sbiz.ru;
  • 8sbiz.ru;
  • 9sbiz.ru;
  • 10sbiz.ru;
  • countbiz.ru;
  • frps.homeftp.org;
  • google.webhop.info;
  • manager.dyndns.info;
  • traffbiz.is-by.us.

Вредоносный код, распространяемый через счётчики traffbiz.ru, пытается использовать уязвимости в популярных браузерах и их плагинах. При использовании хотя бы одной из уязвимостей на компьютер пользователя загружается и устанавливается вредоносная программа.

Вредоносное ПО, которое распространятся через счётчики traffbiz.ru, является троянской программой-формграббером. Она собирает банковскую информацию, вводимую пользователем, например учётные записи в системах банк-клиент, и передает ее злоумышленникам. В результате злоумышленники могут получить доступ к банковским счётам пользователей и совершать с ними операции.

Троянская программа имеет следующие контрольные суммы (хеши):
  • MD5: 6d3d8bb5be70d1268e6b817c9129a444;
  • SHA1: 1202e1ae935c2c35baad26345685063c22c9ffd5;
  • SHA256: 13d4948b35f57d9c25f9a7cb21443084df75fa409379c358ea6b662fd300c251.

По классификации компании Symantec, эта троянская программа имеет название Carberp. По функциональности найденная версия похожа на описанную нами раньше. При этом, по данным сайта VirusTotal.com, на 04.10.2011 она не детектировалась ни одним из 43 антивирусов, представленных на сайте, а 11.10.2011 – уже 16 антивирусами.

Возможно, ситуация с детектированием 04.10.2011 была вызвана тем, что код троянской программы был зашифрован, т.к. после расшифровки 04.10.2011 на VirusTotal.com её детектировали 15 антивирусов из 43, а 11.10.2011 – уже 29.


Рекомендации


В целом, рекомендации для вебмастеров аналогичны тем, которые приведены здесь. Важно помнить: когда вебмастер размещает на своём сайте чужой, динамически подгружаемый контент, он теряет часть контроля над тем, что будет передаваться на компьютер пользователя при посещении его сайта.

Поэтому к выбору партнёрских программ и рекламных сетей нужно подходить очень тщательно. Обращайте внимание на то, как их владельцы относятся к безопасности,  проверяют ли распространяемый через их систему контент, выясняйте, почему они платят за показы больше других.

Злоумышленники часто используют партнёрские программы для распространения вредоносного кода. Поэтому если партнёрская программа дорожит клиентами, партнёрами и репутацией, то её создателям рекомендуется проверять размещаемый рекламный контент и ссылки на сайты на наличие вредоносного содержимого. В частности, для такой проверки можно использовать информацию о заражённых сайтах, доступную через Safe Browsing API Яндекса.

Команда безопасного поиска Яндекса

3 комментария
Подписаться на комментарии к посту

ну так всегда говорили, что тильзеры - зло, а уж такая фигня за ранее можно сказать не спроста.

Дмитрий Удимов
25 октября 2011, 02:34

Я за "белую" монетизацию сайтов (+1)

Подтверждаю!

Нельзя допускать на свои страницы генерируюмый на стороне код.

Был искренне удивлен когда увидел дичайшую нагрузку на сервак.

Быстренько снес к черту все следы и все пришло в норму.