Веб-угрозы за сентябрь 2016 на основе статистики сервиса ReScan.Pro

Согласно статистике веб-сканера ReScan.pro, через который еженедельно проходит несколько тысяч веб-ресурсов, средние показатели заражений сайтов в сентябре держались на уровне 31% (+8%). То есть примерно треть проверяемых сайтов содержит код, который угрожает или безопасности посетителей, или техническим показателям сайта .


В среднем показатели по проблемным сайтам следующие:

• 16% (+1%) проверямых сайтов содержали вирусный код в HTML страницах
• 7% (+1%) проверяемых сайтов содержали вирусы в загружаемых javascript файлах
• 9% сайтов перенаправляли посетителей на сторонние ресурсы (рекламные, мошеннические и вредоносные)
• 5% сайтов находилось в блек-листе сервисов VirusTotal
• 9% (+4%) сайтов были под санкциями Яндекса
• 3% сайтов были под санкциями Google
  

Абсолютным лидером по числу заражений по-прежнему за вредоносной кампанией bokotraffic.com и схожий с ним redirectoffers.org.

В TOP20 доменов, на которые выполняется несанкционированные редиректы вошли в этом месяце:

• v2mllavender.com (39%) – редирект на рекламные и мошеннические сайты
• redirectoffers .org (18%) (новый в лидерах) – редирект на рекламные и мошеннические сайты
• web-redirect.ru (9%) – редирект на вредоносные загрузки и мошеннические сайты
• go.padsdel.com (5%) – редирект на рекламные сайты
• ad2up.com (2%) – редирект на мошеннические сайты и опасные загрузки
• voluumtrk.com – редирект на мошеннические сайты и опасные загрузки
• googlejavascript.com – мобильный редирект на рекламные страницы
• w3-org.cc – мобильный редирект на мошеннические сайты
• bitly.com – редирект на опасные сайты через сервис сокращения ссылок
• v2mllavender.com – редирект на рекламные и мошеннические сайты
• mob-redirect.ru – редирект мобильных пользователей на вредоносные загрузки
• padsdel.com – редирект на рекламные сайты
• goo.gl – редирект на опасные сайты через сервис сокращения ссылок
• trtla.space – редирект с тизерной рекламной сети
• plins.ru – редирект на рекламные сайты
• 185.93.187.41 – редирект на мошеннические сайты
• a.c0594.com – редирект на рекламные сайты
• luxurytds.com – скрытые редиректы посетителей на рекламные сайты
• buykeyonline.com — продажа регистрационных ключей для Windows приложений
• vyhub.com – мобильный редирект на рекламные сайты
  

Текущую статистику веб-сканера по веб-угрозам можно смотреть на странице https://rescan.pro/stat.php (обновляется раз в час).

—


В этом месяце началась и завершилась вредоносная кампания с заражением Joomla сайтов, при которой подгружался вирусный код с одного из следующих хостов:

• 4lmbkpqrklqv.net
• j8le7s5q745e.org
• fg1238tq38le.nett
  

В Joomla-шаблонах данный код выглядел как вставка:


Через 3 недели данные домены завершили свой жизненный цикл и в данный момент не отвечают. На сайтах с этим заражением еще могут обнаруживаться вставки кода




—


Еще одним громким событием была вредоносная кампания с использованием  Google Adsense. На сайтах с кодом этой рекламной сети в первую неделю октября посетителям, заходящим с Android устройств или читающих сайты через Feedly, подгружался вредоносный MyAndroidSpeedUp.apk файл, являющийся трояном. Подобный эффективный вариант распространения вредоносного файла посетители наблюдали в начале августа также на сайтах с установленным кодом Google Adsense.
Подробно прочитать о данном вредоносном коде и впечатлениях пострадавших можно по ссылкам:

• http://www.cy-pr.com/forum/f26/t94629/m995954
• http://4pda.ru/forum/index.php?showtopic=762443&st=0#entry51874030
• https://forums.overclockers.ru/viewtopic.php?f=9&t=564588&p=14150672
• http://eer.ru/a/article/u126889/2016/08/05/53493