На протяжении трех дней банеры Yahoo распространяли вирус
09.01.2014
При просмотре вредоносной рекламы пользователя перенаправляли на web-страницу, содержащую набор эксплоитов Magnitude.
На протяжении четырех дней серверы Yahoo распространяли вредоносное ПО. По данным компании Fox-IT, вирус содержался в банерах с ads.yahoo.com и загружал вредоносный контент с доменов blistartoncom.org (192.133.137.59), slaptonitkons.net (192.133.137.100), original-filmsonline.com (192.133.137.63), funnyboobsonline.org (192.133.137.247), а также yagerass.org (192.133.137.56).
При просмотре вредоносной рекламы пользователя перенаправляли на web-страницу, содержащую набор эксплоитов Magnitude. При этом она была зарегистрирована на поддоменах boxsdiscussing.net, crisisreverse.net, limitingbeyond.net и пр. с единственным IP-адресом 193.169.245.78. По словам представителей Fox-IT, IP-адрес зарегистрирован в Нидерландах.
Известно, что набор эксплоитов использует уязвимости в Java и устанавливает ряд вирусов, среди которых ZeuS, Andromeda, Dorkbot/Ngrbot, Advertisement clicking malware, Tinba/Zusy, а также Necurs.
Несмотря на то, что в Fox-IT говорят, что впервые активность вируса зафиксировали 30 декабря прошлого года, он мог начать действовать гораздо раньше. Важно, что уже 3 января этого года Yahoo удалила вредоносную рекламу.
Как утверждают ИБ-эксперты антивирусной компании, в час баннеры просматривают порядка 300 тыс. человек, 9% из которых стали жертвами вредоносной кампании. Это значит, что в период распространения вируса порядка 27 тыс. пользователей в час перенаправлялись на упомянутые вредоносные страницы.
В компании также отметили, что наиболее часто жертвами зараженных банеров становились пользователи из Румынии, Великобритании, а также Франции. Правда, специалисты пока не уверены, почему именно эти страны попали под влияние вредоноса больше всего.
