Сайты звукозаписывающей компании EMI заражены вирусом
27.09.2010
Более сотни сайтов, расположенных на одном из серверов специализированного хостинга лейбла EMI Records, были заражены в этом месяце. Часть из них вылечена, но многие до сих пор раздают посетителям вредоносный контент, сообщает эксперт Денис Синегубко в блоге своего сервиса Unmask Parasites.
Сервис EMI Hosting обслуживает собственные сайты EMI Records, а также сайты музыкантов, сотрудничающих с этим лейблом. Согласно данным статистики Google Safe Browsing, за последние 90 дней из почти трёх сотен сайтов, хостящихся на проблемном сервере EMI Hosting, 112 загружали вредоносный код на компьютеры пользователей без их ведома.
В частности, вирусы раздавали сайты Pink Flyod и Дэйвида Гилмора, Massive Attack, Gorillaz и другие. Многие из них уже вычищены от вредоносного кода — предположительно, администраторами EMI Hosting. Однако ряд сайтов до сих пор заражён.
Синегубко приводит список из 15 таких сайтов, среди которых, к примеру, встречаются EMI Classics UK, Nick Cave and the Bad Seeds и Spice Girls Greatest Hits. Эксперт предполагает, что этот список не полон.
Вредоносный код на этих ресурсах подгружается через iframe. Примечательно, что это тот же самый код, которым ещё в начале сентября были заражены некоторые ресурсы блога TechCrunch, а именно MobileCrunch, CrunchGear и TechCrunch Europe.
Синегубко предполагает, что примерно 5 сентября некие злоумышленники обнаружили уязвимость на одном из сайтов, хостящихся на EMI Hosting (вероятнее всего, в старых движках phpBB или WordPress, которые здесь часто встречаются) и загрузили на него свои скрипты, которые принялись отыскивать в этой сети другие сайты со слабыми правами на файлы и заражать их. Якобы позднее админы хостинга обнаружили взлом и постарались вычистить заразу, но не автоматизировали процесс поиска пострадавших ресурсов, а делали это вручную, вследствие чего многие были ими пропущены при чистке.
