Распространяемые вредоносные программы
Вредоносный код, распространяемый через биржи трафика, пытается использовать уязвимости в популярных браузерах и их плагинах. При удачной эксплуатации хотя бы одной из уязвимостей на компьютер пользователя загружается и устанавливается вредоносная программа.
Через блоки различных адвертов распространяются вредоносные программы, которые очень сильно отличаются по функциональности. Кроме того, в блоках некоторых из заражённых бирж трафика видна специализация на распространении того или иного класса вредоносных программ. Например, вредоносный код, распространяемый через блоки с wmip.ru, занимается вымогательством денег посредством блокировки доступов к различным популярным ресурсам или работы всей операционной системы в целом.
Далее описаны некоторые из наиболее активно распространяемых злоумышленниками вредоносных программ.
Мошенник
Один из вирусов блокирует доступ к таким популярным социальным сетям, как odnoklassniki.ru и vk.com. По данным virustotal.com, на момент проверки, 28 июля, он детектировался всего двумя антивирусами из 43.
Хеши семпла:
- MD5: 340401a22e63636197b67c1d4b82319f;
- SHA1: 04a6851876a1de19ae8140cc896f7aa62c3a4824;
- SHA256: 585c40c45f10a9c7085ad315d
3e918740713360803ab31d7cc 73237bebfd464a.
Рис.7 – Блокировка доступа к сайту www.odnoklassniki.ru
Блокер
Другой, не менее опасный вирус, распространяемый через wmip.ru, блокирует работу операционной системы в целом. На момент проверки, 28 июля, по данным virustotal.com, он детектировался десятью антивирусами из 43.
Хеши семпла, блокирующего работу операционной системы:
- MD5: 45deaad9607a367e6def85a7940004db;
- SHA1: 488488f87dc7a7b56915d5b4e8b65f965d920205;
- SHA256: 9d44f8754d2618384f3b25b85
06a56c49aa7eed5c235f38683 94d4bb51a1a2e3.
Рис.8 – Блокировка работы операционной системы
Банковский троян
Из обнаруженного вредоносного ПО наибольшую опасность представляет банковский троян (формграббер) под названием Carberp по классификации Symantec. Он передаёт злоумышленникам учётные записи в системах клиент-банк, в результате чего злоумышленники получают доступ к банковским счетам пользователей. Троян распространяется через хост gold-wm.ru, и на момент проверки 28 июля, по данным virustotal.com, выявлялся 24 антивирусами из 43.
Carberp — это модульный формграббер, который имеет в своем наборе модули (stopav.plug, passw.plug, miniav.plug) для отключения ряда антивирусов, кражи паролей и даже для удаления своих конкурентов – таких вирусов, как:
- Limbo;
- ZeuS;
- Barracuda;
- SpyEye.
Рекомендации
При использовании бирж трафика вебмастер очень часто сам добавляет блок заражённой партнёрской программы на страницы своего сайта. Поэтому основная рекомендация для вебмастеров в данном случае — сначала изучить репутацию сети, и только после этого размещать у себя её блоки. В некоторых случаях вредоносный код может попадать на страницы сайта из блоков известных, обладающих хорошей репутацией рекламных сетей, но это скорее единичные ошибки этих сетей, а не закономерность и уж точно не основной бизнес.
Если блок с вредоносным кодом добавил кто-то другой, как от него избавиться описано в статье Как удалить вредоносный код на стороне сервера. Если ваш компьютер заразился, ознакомьтесь со статьей Бесплатные антивирусы и утилиты для лечения компьютера. Также рекомендуем ознакомиться со статьей Как обезопасить свой компьютер при работе в интернете.
Чем больше у нас примеров вредоносного кода – тем больше у нас информации, чтобы помочь вам и другим вебмастерам. Потому если вы найдёте вредоносный код на своём веб-сервере или рабочей станции – пришлите его нам для анализа по адресу virus-samples@yandex-team.ru. Как это сделать – написано в статье Как отправить вредоносный код специалистам Яндекса на анализ.
Комментариев нет:
Отправить комментарий