Серверы Yahoo четыре дня распространяли вирус На протяжении четырех дней — в период с 30 декабря по 3 января этого года — серверы Yahoo распространяли вирус, содержащийся в баннерах, размещенных на веб-странице с адресом ads.yahoo.com. Наличие вредоноса подтвердили представители сервиса.

Специалисты компании Fox-IT утверждают, что вирус загружал вредоносный контент со следующих доменов:

· blistartoncom.org (192.133.137.59);

· slaptonitkons.net (192.133.137.100);

· original-filmsonline.com (192.133.137.63);

· funnyboobsonline.org (192.133.137.247);

· yagerass.org (192.133.137.56).

По данным специалистов, при нажатии на баннер, содержащий вредоносный код, пользователь перенаправлялся на различные сайты с набором эксплоитов Magnitude. Подчеркивается, что эти веб-сайты были зарегистрированы в Нидерландах на поддоменах boxsdiscussing.net, crisisreverse.net, limitingbeyond.net и др. При этом страницы имели единственный IP-адрес 193.169.245.78.

В антивирусной компании утверждают, что в среднем в час рекламу просматривают порядка 300 тысяч человек. Учитывая тот факт, что 9% из них становились жертвами вредоносной кампании, предполагается, что всего пострадало порядка 2 миллионов пользователей, причем большинство из них находятся во Франции, Нидерландах или Румынии.

Отметим, что Magnitude эксплуатирует уязвимости Java, а также загружает и устанавливает такие вирусы, как ZeuS, Andromeda, Dorkbot/Ngrbot, Advertisement clicking malware, Tinba/Zusy и Necurs.

Проведя более подробный анализ, ИБ-эксперт из Cisco Systems Джейсон Шультц (Jaeson Schultz) установил, что баннерный вирус Yahoo может быть частью ботнета, созданного на территории Украины. По словам специалиста, все найденные им домены обладают общими характеристиками. Так, они всегда начинаются с нескольких чисел, затем идут от 2 до 6 зашифрованных поддоменных DNS-имен, а заканчиваются 2 случайными словами в доменах 2 уровня. Интересно, что вчера часть проанализированных доменов все еще была активной.