Компания Fox-IT благодаря своему сервису мониторинга вирусной активности [Только зарегистрированные могут видеть это. ], что у некоторых клиентов из Европы появляются вирусы после посещения сайта yahoo.com (европейские версии). Проведенное расследование показало, что причиной инфицирования стали баннеры с ads.yahoo.com. Они содержали фреймы, загружающие контент со следующих доменов:

  • blistartoncom.org (192.133.137.59), зарегистрирован 1 января 2014 г.
  • slaptonitkons.net (192.133.137.100), зарегистрирован 1 января 2014 г.
  • original-filmsonline.com (192.133.137.63)
  • funnyboobsonline.org (192.133.137.247)
  • yagerass.org (192.133.137.56)


Старая техника инфицирования через баннеры сработала классически. При открытии зараженного баннера пользователя направляли на страницу с набором эксплоитов Magnitude, зарегистрированную на одном из множества поддоменов boxsdiscussing.net, crisisreverse.net, limitingbeyond.net и др. Все эти сайты размещались на единственном IP-адресе 193.169.245.78. Вероятно, это голландский адрес.

Набор эксплоитов использовал уязвимости в Java и устанавливал на компьютеры жертв целый букет программного обеспечения.

  • ZeuS
  • Andromeda
  • Dorkbot/Ngrbot
  • Программа для нажатий на рекламные объявления
  • Tinba/Zusy
  • Necurs


Расследование показало, что первые случаи заражения произошли 30 декабря 2013 года, а компания Yahoo [Только зарегистрированные могут видеть это. ] вечером 3 января 2014 года. По приблизительным оценкам, аудитория вредоносных баннеров составляет около 300 тыс. человек в час, а процент инфицированных — около 9%. Таким образом, количество зараженных пользователей можно оценить в 27 тыс. в час. Наибольшее количество заражений пришлось на Румынию, Великобританию и Францию.




xakep.ru