Вредоносная партнерка traffbiz.ru. Разоблачение.

Тема в разделе "Пойманы за руку", создана пользователем onthar, 26 окт 2011.

Метки:
  1. onthar
    Оффлайн

    onthar Активный пользователь

    Сообщения:
    31
    Симпатии:
    63
    Разоблачение партнерки traffbiz.ru

    Доброй ночи, люди.
    Не так давно я писал про избавление форума от вредоносного ифрейма, тогда мы поняли, что виновата была партнерка. Мне стало интересно, единичный ли это случай и я зарегистрировался, получил код баннера и поставил на тестовый сайт. Естесственно история повторилась.
    Представляю Вашему вниманию добросовестную партнерку, которая платит за просмотры: traffbiz.ru
    Они обещают по $1,2 за 1к просмотров. С чего такая щедрость, спросите вы? А где еще можно купить столь дешевых загрузок?
    Доверчивые веб-мастера, желающие выжимать со своего веб-сайта максимум денежных средств, с большой радостью ставят подобные баннеры, не задумываясь о последствиях, коих несколько:

    • Пользователи начнут убегать от этого сайта подальше, ведь на него ругается любимый антивирус – друг и помощник в столь суровом мире интернета.
    • Поисковые системы рано или поздно внесут такой сайт в фильтры и повесят предупреждающую об угрозе инфицирования табличку.
    • Кто-то начнет обузить все инстанции, и крайним после незатягивающихся разбирательств может стать хозяин сайта.
    Так вот, я хочу рассказать, как именно работает заражение через невинную картинку, чтобы люди могли в дальнейшем и сами проверить, не дурит ли их партнерка, с которой они работают.
    И так, регистрируемся, указываем адрес своего ресурса, получаем код, приблизительно такой:

    [​IMG]

    Для проверки вооружимся сниффером, подойдет любой, но в данном случае удобнее всех Fiddler. Перейдем на тестовый сайт:

    [​IMG]

    Все в порядке, лишних коннектов нету, страница чистая.
    Вставляем в тело страницы код баннера и перезайдем на страницу:

    [​IMG]

    Появились странные запросы на адреса, не имеющие отношения к нашей тестовой площадке.
    Будем ковырять дальше. Воспользуемся Malzilla
    Деобфусцированный код баннера:

    [​IMG]

    Возьмем ссылку из кода и перейдем по ней в malzilla, с указанием в качестве реферрера сайта, на котором размещен баннер, только тогда сработает переадресация:
    Получим в ответ вот такой скрипт:

    [​IMG]

    Повторим процедуру, но с новым полученным линком, будет возвращен такой код:

    [​IMG]

    Видим мы две ссылки, ведущие на домены службы динамических днс.
    Этот сервис предоставляет бесплатные доменные имена третьего уровня с переадерсацией на указанный ip-адрес.
    Как показали недельные наблюдения, имена доменов регулярно меняются.
    При переходе по любой из ссылок, будет показано следующее:

    [​IMG]

    Но в исходном коде страницы мы найдем куда больше информации, я залил на pastebin.
    Внимание! могут ругаться антивирусы, но никакой угрозы код нанести системе не сможет, если просматривать его по ссылке ниже:
    Код зашифрован, и чтобы понять, что он делает, необходимо снять обфускацию. Сделать это можно или вручную с помощью шаблонов в malzilla, что долго и без определенных знаний невыполнимо, или же воспользоваться программой для автоматической расшифровки страниц PMSWalker.
    Отдельно об этой чудесной утилите я расскажу несколько позже.
    Вот так будет выглядеть код страницы после снятия обфускации:
    Как видите, все стало намного понятней: именно эта страница шпигует систему различными сплоитами, именно по этому подобные инструменты называются связками эксплоитов.

    Сейчас нас интересует именно то, что заразило нашу систему:
    http://1**so.dyndns.biz/content/worms.jar – worms.jar – это, собственно, эксплоит для ява-среды JRE.
    http://1**so.dyndns.biz/w.php?f=17&e=2 – файл трояна, который будет запущен в случае успешного срабатывания эксплоита.

    Троян регулярно меняется – криптуется от детектов антивирусами, но за неделю наблюдений загружались только модификации Carberp.
    Но, как я уже упоминал ранее, сервера, с которых производится управление вредоносными файлами не доступны, при попытке скачивания инжектов и других вспомогательных модулей трояна, сервер возвращает 404-ю ошибку.

    В полную силу бот не работал только на момент написания и наблюдения за партнеркой, далеко не факт, что в любой момент «боеспособный» комплект для вредоносной сети не будет восстановлен.

    Домена, кстати, всегда два, названия варьируются, но резолвится всегда ip-адрес из одного диапазона.
    Айпи адрес обоих доменов на момент написания – 95.163.66.202, принадлежит российскому провайдеру DINETHOSTING, msm.ru, что может говорить о том, что использует не веб-сервер какого-то хостинга, а свой, стоящий в офисе или дома.
    Так вот мы и выяснили, что вот уже больше месяца эта недобросовестная партнерка так подставляет своих клиентов. Между прочим, нарушая УК РФ.
    Небольшое отступление.

    Вот, что вызвало у меня интерес, пакет со сниффера во время работы загруженного в систему трояна:
    Код (Text):
    GET /rt_jar//CRC32.txt HTTP/1.1
    Accept: */*
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6.4; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
    Host: 95.168.178.21
    Connection: Close

    HTTP/1.1 200 OK
    Date: Fri, 30 Sep 2011 07:17:21 GMT
    Server: Apache/2.2.19 (CentOS)
    Last-Modified: Wed, 28 Sep 2011 21:45:53 GMT
    ETag: "406dd-ef-4ae0750f3c640"
    Accept-Ranges: bytes
    Content-Length: 239
    Connection: close
    Content-Type: text/plain; charset=UTF-8

    6u17_rt_add.jar=1139367165
    6u18_rt_add.jar=1581787094
    7uXX_rt_add.jar=1581787094
    rt.ini=83750976
    6_jar.exe=4039271118
    6_jli.dll=3139858861
    6_msvcr71.dll=987786152
    7_jar.exe=2819675814
    7_jli.dll=2283789432
    7_msvcr100.dll=3273002548
    Это минимальный пакет для запуска простых ява приложений.
    А так же странными кажутся запросы такого типа:
    Код (Text):
    GET /w5RP61p8H4WFv2bjQzM.bmp HTTP/1.1
    Accept: */*
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6.4; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
    Host: n9wsfhudcn9u8hedcfd.com
    Connection: Close
    Их несколько, по ссылке скачиваются большие файлы, около полутора метров, имеющие расширение распространенных графических форматов и зашифрованный код внутри. Вполне вероятно, что это еще одна система управления ботнетом, как в случае с Alureon, который получал команды из картинок, размещенных в социальных сетях и коллективных блогах.

    (с)onthar via onthar.in
     
    11 пользователям это понравилось.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Партнерки всегда являются наиболее слабым звеном в работе ресурса. По большому счету владелец передает свою собственность в распоряжение чужих людей.
     
  3. onthar
    Оффлайн

    onthar Активный пользователь

    Сообщения:
    31
    Симпатии:
    63
    Я, честно признаться, пока не столкнулся с этим, даже представить себе не мог, что такое возможно.
     
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    onthar, только что увидел. Отлично всё расписал! (Добавил свой отзыв).

    Увы, возможно и не такое и уже довольно давно. Меня уже, пожалуй, трудно чем-то удивить в этой области.
    Фродинг и хакинг мутируют не по дням, а по часам. Их механизмы можно придугадывать с большой точностью, но отхождения от общего поведения всё же есть и... будут всегда.
     
    Последнее редактирование: 27 окт 2011
    1 человеку нравится это.
  5. Sana78
    Оффлайн

    Sana78 Пользователь

    Сообщения:
    1
    Симпатии:
    0
    спасибо огромное, удалила у себя эту хрень и сайт заработал нормально.
     
  6. igorgn
    Оффлайн

    igorgn Активный пользователь

    Сообщения:
    52
    Симпатии:
    27
    Я себе на сайт ни по чьей просьбе ничего не ставил. Да уже мало кто ведётся на эти уловки.
     

Поделиться этой страницей