Вредоносная партнерка traffbiz.ru. Разоблачение.

onthar

Активный пользователь
Сообщения
31
Реакции
59
Баллы
408
Разоблачение партнерки traffbiz.ru

Доброй ночи, люди.
Не так давно я писал про избавление форума от вредоносного ифрейма, тогда мы поняли, что виновата была партнерка. Мне стало интересно, единичный ли это случай и я зарегистрировался, получил код баннера и поставил на тестовый сайт. Естесственно история повторилась.
Представляю Вашему вниманию добросовестную партнерку, которая платит за просмотры: traffbiz.ru
Они обещают по $1,2 за 1к просмотров. С чего такая щедрость, спросите вы? А где еще можно купить столь дешевых загрузок?
Доверчивые веб-мастера, желающие выжимать со своего веб-сайта максимум денежных средств, с большой радостью ставят подобные баннеры, не задумываясь о последствиях, коих несколько:

  • Пользователи начнут убегать от этого сайта подальше, ведь на него ругается любимый антивирус – друг и помощник в столь суровом мире интернета.
  • Поисковые системы рано или поздно внесут такой сайт в фильтры и повесят предупреждающую об угрозе инфицирования табличку.
  • Кто-то начнет обузить все инстанции, и крайним после незатягивающихся разбирательств может стать хозяин сайта.
Так вот, я хочу рассказать, как именно работает заражение через невинную картинку, чтобы люди могли в дальнейшем и сами проверить, не дурит ли их партнерка, с которой они работают.
И так, регистрируемся, указываем адрес своего ресурса, получаем код, приблизительно такой:


Для проверки вооружимся сниффером, подойдет любой, но в данном случае удобнее всех Fiddler. Перейдем на тестовый сайт:


Все в порядке, лишних коннектов нету, страница чистая.
Вставляем в тело страницы код баннера и перезайдем на страницу:


Появились странные запросы на адреса, не имеющие отношения к нашей тестовой площадке.
Будем ковырять дальше. Воспользуемся Malzilla
Деобфусцированный код баннера:


Возьмем ссылку из кода и перейдем по ней в malzilla, с указанием в качестве реферрера сайта, на котором размещен баннер, только тогда сработает переадресация:
Получим в ответ вот такой скрипт:


Повторим процедуру, но с новым полученным линком, будет возвращен такой код:


Видим мы две ссылки, ведущие на домены службы динамических днс.
Этот сервис предоставляет бесплатные доменные имена третьего уровня с переадерсацией на указанный ip-адрес.
Как показали недельные наблюдения, имена доменов регулярно меняются.
При переходе по любой из ссылок, будет показано следующее:


Но в исходном коде страницы мы найдем куда больше информации, я залил на pastebin.
Внимание! могут ругаться антивирусы, но никакой угрозы код нанести системе не сможет, если просматривать его по ссылке ниже:
Код зашифрован, и чтобы понять, что он делает, необходимо снять обфускацию. Сделать это можно или вручную с помощью шаблонов в malzilla, что долго и без определенных знаний невыполнимо, или же воспользоваться программой для автоматической расшифровки страниц PMSWalker.
Отдельно об этой чудесной утилите я расскажу несколько позже.
Вот так будет выглядеть код страницы после снятия обфускации:
Как видите, все стало намного понятней: именно эта страница шпигует систему различными сплоитами, именно по этому подобные инструменты называются связками эксплоитов.

Сейчас нас интересует именно то, что заразило нашу систему:
http://1**so.dyndns.biz/content/worms.jar – worms.jar – это, собственно, эксплоит для ява-среды JRE.
http://1**so.dyndns.biz/w.php?f=17&e=2 – файл трояна, который будет запущен в случае успешного срабатывания эксплоита.

Троян регулярно меняется – криптуется от детектов антивирусами, но за неделю наблюдений загружались только модификации Carberp.
Но, как я уже упоминал ранее, сервера, с которых производится управление вредоносными файлами не доступны, при попытке скачивания инжектов и других вспомогательных модулей трояна, сервер возвращает 404-ю ошибку.

В полную силу бот не работал только на момент написания и наблюдения за партнеркой, далеко не факт, что в любой момент «боеспособный» комплект для вредоносной сети не будет восстановлен.

Домена, кстати, всегда два, названия варьируются, но резолвится всегда ip-адрес из одного диапазона.
Айпи адрес обоих доменов на момент написания – 95.163.66.202, принадлежит российскому провайдеру DINETHOSTING, msm.ru, что может говорить о том, что использует не веб-сервер какого-то хостинга, а свой, стоящий в офисе или дома.
Так вот мы и выяснили, что вот уже больше месяца эта недобросовестная партнерка так подставляет своих клиентов. Между прочим, нарушая УК РФ.
Небольшое отступление.

Вот, что вызвало у меня интерес, пакет со сниффера во время работы загруженного в систему трояна:
Код:
GET /rt_jar//CRC32.txt HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6.4; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Host: 95.168.178.21
Connection: Close

HTTP/1.1 200 OK
Date: Fri, 30 Sep 2011 07:17:21 GMT
Server: Apache/2.2.19 (CentOS)
Last-Modified: Wed, 28 Sep 2011 21:45:53 GMT
ETag: "406dd-ef-4ae0750f3c640"
Accept-Ranges: bytes
Content-Length: 239
Connection: close
Content-Type: text/plain; charset=UTF-8

6u17_rt_add.jar=1139367165
6u18_rt_add.jar=1581787094
7uXX_rt_add.jar=1581787094
rt.ini=83750976
6_jar.exe=4039271118
6_jli.dll=3139858861
6_msvcr71.dll=987786152
7_jar.exe=2819675814
7_jli.dll=2283789432
7_msvcr100.dll=3273002548
Это минимальный пакет для запуска простых ява приложений.
А так же странными кажутся запросы такого типа:
Код:
GET /w5RP61p8H4WFv2bjQzM.bmp HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6.4; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Host: n9wsfhudcn9u8hedcfd.com
Connection: Close
Их несколько, по ссылке скачиваются большие файлы, около полутора метров, имеющие расширение распространенных графических форматов и зашифрованный код внутри. Вполне вероятно, что это еще одна система управления ботнетом, как в случае с Alureon, который получал команды из картинок, размещенных в социальных сетях и коллективных блогах.

(с)onthar via onthar.in
 

akok

Команда форума
Администратор
Сообщения
17,833
Реакции
13,534
Баллы
2,203
Партнерки всегда являются наиболее слабым звеном в работе ресурса. По большому счету владелец передает свою собственность в распоряжение чужих людей.
 

onthar

Активный пользователь
Сообщения
31
Реакции
59
Баллы
408
Партнерки всегда являются наиболее слабым звеном в работе ресурса.
Я, честно признаться, пока не столкнулся с этим, даже представить себе не мог, что такое возможно.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,128
Баллы
803
onthar, только что увидел. Отлично всё расписал! (Добавил свой отзыв).

даже представить себе не мог, что такое возможно.
Увы, возможно и не такое и уже довольно давно. Меня уже, пожалуй, трудно чем-то удивить в этой области.
Фродинг и хакинг мутируют не по дням, а по часам. Их механизмы можно придугадывать с большой точностью, но отхождения от общего поведения всё же есть и... будут всегда.
 
Последнее редактирование:

Sana78

Активный пользователь
Сообщения
1
Реакции
0
Баллы
301
спасибо огромное, удалила у себя эту хрень и сайт заработал нормально.
 

igorgn

Активный пользователь
Сообщения
52
Реакции
15
Баллы
408
Я себе на сайт ни по чьей просьбе ничего не ставил. Да уже мало кто ведётся на эти уловки.
 
Сверху Снизу