Перейти к публикации
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...

Очередной мобильный порно-редирект на BaDoink Porn App


 Поделиться

Рекомендованные сообщения

Это перепечатка статьи с сайта: http://virusdie.ru/blog/2014/07/16/badoinkpornappmalware/

 

Вредоносный мобильный редирект на BaDoink Porn App

700.jpg

 

Несколько недель назад мы писали о большом количестве обнаруженных сайтов, скомпромитированных в следствие перенаправления пользователей на порно-контент. Это была очень не обычная и хитрая инъекция с редиректом, происходящим всего лишь один раз в день для одного IP и только при условии, что пользователь зашел на ресурс с мобильного устройства под управлением iOS или Android.
 
Этот тип инъекции называется Условным Редиректом, поскольку для его срабатывания действия пользователя должны удовлетворять сразу нескольким условиям. Это вредоносный мобильный редирект не всегда обнаруживается, а его авторы старательно скрывают его от владельцев и администраторов веб-сайтов. Вредоносный код отслеживает входящих в админ-панель пользователей и никогда их никуда не перенаправляет. Ну и наконец, если пользователь был однажды перенаправлен, вредоносная программа больше не будет его перенаправлять. В таком случае, если вы посетите такой сайт — вы будете отредирекчены, но с вашей точки зрения, возможно, это покажется вам случайность. Вы попробуете посетить сайт еще раз и ни какого перенаправления не произойдет. Вы не будете сообщать об этом владельцу или администратору сайта, что позволит вредоносной программе спокойно жить дальше.
 
Как вы можете предположит, такой тип вредоносного ПО тяжело обнаружить. Многие веб-мастера не замечают или пропускают, сославшись на свою опечатку, прециденты редиректа на своих сайтах. По этой то причине многие ресурсы за последний месяц были скомпромитированы, попав в соответствующие блэк-листы, за перенаправление пользователей на «instabang.com» или Badoink Porn App. Если вы замечали на своем ресурсе, хотя бы однократно, редирект на подобное направление — ваш сайт, должно быть, взломан.

 

Технический анализ вредоносного мобильного редиректора

В новой версии этот вирус изменился. Он использует JavaScript для перенаправления пользователей на второстепенные лэндинг-страницы. Вот этот код:

700mredirect.jpg

 

Как вы можете видеть, используется top.location.replace для перенаправления человека на другой скомпромитированный домен (в этом примере на «1strateannuities.com»), где затем происходит перенаправление на http://ads.mobiteasy.com/mr/?id=SRV0102. Здесь уже решается куда будет перенаправлен пользователь, на приложение «BaDoink porn app» или на «instabang». За последние несколько дней были выявлены следующие сайты, участвующие в перенаправлении:

О том, как удалить данный рекдирект вручную мы уже писали ранее статье: https://opencartforum.com/topic/35322-%D0%B2%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D0%BD%D1%8B%D0%B9-%D0%BC%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9-%D1%80%D0%B5%D0%B4%D0%B8%D1%80%D0%B5%D0%BA%D1%82-%D0%BD%D0%B0-%D1%81%D0%B0%D0%B9%D1%82%D0%B5/

Ссылка на комментарий
Поделиться на других сайтах


Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Поделиться

×
×
  • Создать...

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.