- 20.12.12
- 398
- 1
Компания Fox-IT благодаря своему сервису мониторинга вирусной активности обнаружила, что у некоторых клиентов из Европы появляются вирусы после посещения сайта yahoo.com (европейские версии). Проведенное расследование показало, что причиной инфицирования стали баннеры с ads.yahoo.com. Они содержали фреймы, загружающие контент со следующих доменов:
blistartoncom.org (192.133.137.59), зарегистрирован 1 января 2014 г.
slaptonitkons.net (192.133.137.100), зарегистрирован 1 января 2014 г.
original-filmsonline.com (192.133.137.63)
funnyboobsonline.org (192.133.137.247)
yagerass.org (192.133.137.56)
Старая техника инфицирования через баннеры сработала классически. При открытии зараженного баннера пользователя направляли на страницу с набором эксплоитов Magnitude, зарегистрированную на одном из множества поддоменов boxsdiscussing.net, crisisreverse.net, limitingbeyond.net и др. Все эти сайты размещались на единственном IP-адресе 193.169.245.78. Вероятно, это голландский адрес.
Набор эксплоитов использовал уязвимости в Java и устанавливал на компьютеры жертв целый букет программного обеспечения.
ZeuS
Andromeda
Dorkbot/Ngrbot
Программа для нажатий на рекламные объявления
Tinba/Zusy
Necurs
Расследование показало, что первые случаи заражения произошли 30 декабря 2013 года, а компания Yahoo убрала баннеры вечером 3 января 2014 года. По приблизительным оценкам, аудитория вредоносных баннеров составляет около 300 тыс. человек в час, а процент инфицированных — около 9%. Таким образом, количество зараженных пользователей можно оценить в 27 тыс. в час. Наибольшее количество заражений пришлось на Румынию, Великобританию и Францию.
Ссылка на источник:
blistartoncom.org (192.133.137.59), зарегистрирован 1 января 2014 г.
slaptonitkons.net (192.133.137.100), зарегистрирован 1 января 2014 г.
original-filmsonline.com (192.133.137.63)
funnyboobsonline.org (192.133.137.247)
yagerass.org (192.133.137.56)
Старая техника инфицирования через баннеры сработала классически. При открытии зараженного баннера пользователя направляли на страницу с набором эксплоитов Magnitude, зарегистрированную на одном из множества поддоменов boxsdiscussing.net, crisisreverse.net, limitingbeyond.net и др. Все эти сайты размещались на единственном IP-адресе 193.169.245.78. Вероятно, это голландский адрес.
Набор эксплоитов использовал уязвимости в Java и устанавливал на компьютеры жертв целый букет программного обеспечения.
ZeuS
Andromeda
Dorkbot/Ngrbot
Программа для нажатий на рекламные объявления
Tinba/Zusy
Necurs
Расследование показало, что первые случаи заражения произошли 30 декабря 2013 года, а компания Yahoo убрала баннеры вечером 3 января 2014 года. По приблизительным оценкам, аудитория вредоносных баннеров составляет около 300 тыс. человек в час, а процент инфицированных — около 9%. Таким образом, количество зараженных пользователей можно оценить в 27 тыс. в час. Наибольшее количество заражений пришлось на Румынию, Великобританию и Францию.
Ссылка на источник:
Чтобы видеть ссылки, необходимо зарегистрироваться.