Осенняя чистка Рунета

Электронные сигареты, тайна фамилии, диеты, сайты знакомств и прочие рекламные страницы уже давно являются неотъемлемой частью Рунета. Эти сайты видели пользователи и в спаме, и в социальных сетях, и при вводе популярного поискового запроса, и при неосторожном клике по баннеру, и т.д.

Наши коллеги из компании «Доктора Веб» тоже обратили внимание на данную проблему и рассказали историю про взломы сайтов для перенаправления пользователей на вредоносные программы.

Учитывая, что за этим инцидентом скрывается нечто большее, чем просто установка троянцев-блокеров, мы решили более детально рассказать о том, что на самом деле происходит, и нанести очередной удар по всем недобросовестным «вебмастерам», причастным к распространению вредоносных программ.

TDS

Для этой истории не так уж и важно, как пользователь попал на вредоносный сайт: через ссылку в спаме, через сайт с эксплойтами или через поисковый запрос — главное, чтобы этого пользователя грамотно «обслужили» и начислили за его приход денежку спамеру, ботоводу или вебмастеру. Для того, чтобы грамотно разруливать пользовательские потоки, злоумышленники используют специальную систему TDS (Traffic Distribution System), которая в зависимости от параметров и перенаправит пользователя на ZIP-архив с троянцем или на сайт с диетой. В случае, описанном в новости от «Доктор Веб», все ссылки на зараженных и специально созданных сайтах имеют следующий вид:

hxxp://black.ipua.ru/w/go.php?sid=11&tds-file=drayvera-dlya-monitora-samsung-syncmaster-740n

hxxp://smile.bzs.su/go.php?sid=1&tds-file=Hp%20scanjet%202200c%20hp

hxxp://soft-zakach.ru/go.php?sid=1&tds-key=drayvera-dlya-zvukovogo-adaptera

По URL’ам видно, что все эти ссылки ведут на одну TDS, которая называется Simple TDS. После перехода по данным ссылкам пользователя перенаправляют на сайты tdsloadik.ru и megobit.koo1.ru
С последнего сайта и загружается вредоносная программа – троянец-блокер. Все сайты связаны со множеством IP-адресов, на которых хостится огромное количество сайтов разной тематики - от порнографии до торрент-трекеров и предложений по загрузке бесплатного Skype.

Пример графа с сайта robtex.com по IP адресу, с которого распространяются троянцы

Таким образом, владельцы данных сайтов платят взломщикам сайтов, спамерам и прочим темным личностям за каждого пользователя, с которого удастся выманить те самые СМС’ки — и неважно, за что: за разблокировку компьютера, за новую версию Skype, за торрент файл с piratebay или книгу с lib.ru.

Партнерка

В Рунете существует большое количество партнерских сайтов, которые зарабатывают деньги подобным образом. Это DailyCash, StimulProfit и т.д. Но в случае с троянцем-блокером мы имеем дело с партнеркой LoadPays, так как именно в их конфигурационных файлах было обнаружено упоминание сайтов, распространяющих троянцы

Со всеми подобными партнерками ЛК борется уже очень давно, и неудивительны пронзительные возгласы «епартнеров», лишающихся притока денег после того, как мы блокируем доступ наших клиентов к таким сайтам.

Сообщение о блокировки доступа к сайтам партнёрки StimulProfit на форуме searchengines.ru

Чистка Рунета

Учитывая очередной инцидент с массовым распространением вредоносных программ через данные партнерские программы, мы ужесточаем наши правила блокирования доступа к сайтам партнерок. Под блокировку всеми доступными нам методами, включая проактивные облачные технологии, попадают все TDS’ки, скрипты, контент, IP-адреса сайтов, DNS’ы и хостеры, замешанные в любом из видов мошенничества с СМС’ками в Рунете, будь то диеты или блокеры. Задача нашей компании – защита наших клиентов от всех видов мошенничества в Сети, и именно интересы наших клиентов стоят на первом месте. Владельцам же партнерских программ и TDS мы рекомендуем начать более тщательно проверять своих партнеров и прекратить борьбу за «черный трафик» любыми методами. Чревато, знаете ли.

Одновременно мы надеемся, что такие меры помогут сделать Рунет чище и свободнее от криминала. Ведь именно криминал и мошенничество отпугивают большую часть людей от использования Сети в полной мере. Именно криминал отпугивает от совершения покупок в Сети. Именно криминал задерживает развитие Интернета в России.