Тысячи пользователей Yahoo были заражены вирусами

Около недели назад, на сайте Yahoo были размещены рекламные блоки с ссылками на вредоносные сайты. Распространение вредоносного программного обеспечения было замечено Fox-IT ^[1], занимающимися информационной безопасностью. На данный момент Yahoo удалила вредоносную рекламу.


Вредоносная реклама представляла собой iframes, которые хостились на:

blistartoncom.org (192.133.137.59), зарегистрирован 1 Января 2014
slaptonitkons.net (192.133.137.100), зарегистрирован 1 Января 2014
original-filmsonline.com (192.133.137.63)
funnyboobsonline.org (192.133.137.247)
yagerass.org (192.133.137.56)

Эти сайты, в свою очередь управлялись с голландского IP 193.169.245.78

При посещении рекламы, пользователи перенаправлялись на зараженные сайты, которые использовали уязвимости в Java и устанавливали вирусы на компьютеры пользователей. Список вредоносных программ составлял: ZeuS, Andromeda, Dorkbot/Ngrbot, Tinba/Zusy, Necurs.
При этом эксплойты загружались со скоростью 300 тысяч установок в час. По данным экспертов, наибольшая доля заражений пришлась на Румынию (24%), Великобританию (23%) и Францию (20%).

Один из способов защиты от эксплойтов — это блокировка 192.133.137/24 и 193.169.245/24 IP диапазонов.

Источник ^[2]

На мой взгляд у Yahoo заняло непростительно долго устранение проблемы.

Автор: elmanr

Источник ^[3]