Более сотни сайтов, расположенных на одном из серверов специализированного хостинга лейбла EMI Records, были заражены в этом месяце. Часть из них вылечена, но многие до сих пор раздают посетителям вредоносный контент.
Сервис EMI Hosting обслуживает собственные сайты EMI Records, а также сайты музыкантов, сотрудничающих с этим лейблом. По данным статистики Google Safe Browsing, за последние 90 дней из почти трехсот сайтов, хостящихся на проблемном сервере EMI Hosting, 112 загружали вредоносный код на компьютеры пользователей без их ведома.
Например, вирусы раздавали сайты Pink Flyod и Дэйвида Гилмора, Massive Attack, Gorillaz и другие. Многие из них уже очищены от вредоносного кода — предположительно, администраторами EMI Hosting. Однако ряд сайтов до сих пор заражен.
Синегубко приводит список из 15 таких сайтов, среди которых встречаются EMI Classics UK, Nick Cave and the Bad Seeds и Spice Girls Greatest Hits. Эксперт предполагает, что этот список не полон.
Вредоносный код на этих ресурсах подгружается через iframe. Примечательно, что это тот же самый код, которым еще в начале сентября были заражены некоторые ресурсы блога TechCrunch, а именно MobileCrunch, CrunchGear и TechCrunch Europe.
Синегубко предполагает, что примерно 5 сентября некие злоумышленники обнаружили уязвимость на одном из сайтов, хостящихся на EMI Hosting и загрузили на него свои скрипты, которые принялись отыскивать в этой сети другие сайты со слабыми правами на файлы и заражать их. Позднее админы хостинга обнаружили взлом и постарались очистить зараженные ресурсы, но не автоматизировали процесс поиска пострадавших ресурсов, а делали это вручную, вследствие чего многие зараженнные сайты были ими пропущены при чистке.