Как-то среди ночи меня пробила ностальгия и я решил скачать с зайцев.нет композицию Анжелики Варум — «Городок».
Нахожу, подходит битрейт, выбираю mp3 и качаю.
Но почему-то скачался .exe файл… и со странного адреса dls3.moilru.ru/output/.../02/96/6b/9f/audio/varum_anzhelika_-_gorodok_zaycev_net.exe
Что за ерунда думаю.
Выбираю .rar формат, то же скачивается — .exe файл размером на 160KБ.
Запускаю whois по домену и получаю:
domain: MOILRU.RU
nserver: ns1.reg.ru.
nserver: ns2.reg.ru.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private Person
registrar: REGRU-REG-RIPN
admin-contact: http://www.reg.ru/whois/admin_contact
created: 2013.05.13
paid-till: 2014.05.13
free-date: 2014.06.13
source: TCI
Опа! Свеженький!
Заливай файл на ВирусТотал и получаю отчет по файлу.
Скриншоты свойств файла.
Выборочно потыкал другие композиции, везде качается вместо mp3 исполняемый файл.
Cкаченные файлы имеют разный размер, но у всех подпись сертификатом mail.ru.
Мой юзерагент:
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20100101 Firefox/21.0
Меняю его на Андроид. Сразу идет редирект на m.zaycev.net и теперь уже качаются нормальные mp3…
Ничего себе!
Послушал, называется, музычку на ночь.
В комментах мне напомнили другую статью.
P.S. Задаю риторический вопрос — как можно без ведома mail.ru подписать её сертификатом столько разных файлов?
P.P.S. Проверил IP сайта, DNSов и шлюза провайдера — никакого спуфинга. Проверился вторым антивирусом — чисто.
Update.
(Спустя 12 часов):Сменен раздающий домен на downloader.com и сменен формат url:
http://dwnloader.com/MjU1NTtodHRwJTNBJTJGJTJGZGwuemF5Y2V2Lm5ldCUyRjExNWE3ZGY2LTE4NjMtNGQxNy1iOWRjLWM5MTI0ZGIwZGVkOCUyRjE2NTA1JTJGMTY1MDUxOCUyRm5hdGFsaV8tX29fYm96aGVfa2Frb3lfbXV6aGNoaW5hXyh6YXljZXYubmV0KS5tcDM7bmFtZT1uYXRhbGlfLV9vX2JvemhlX2tha295X211emhjaGluYV8oemF5Y2V2Lm5ldCkubXAzO3NpemU9ODY1MDc1Mjt0eXBlPW1wMw==
Немного позже опять сменен домен на dawnloader.ru (78.140.165.153)
Через двое суток сменен на dwnloader.net (46.254.18.232).
Который редиректит на другие домены, с который и происходит закачка:
vengera.ru
savtopo.ru
dojdipo.ru
astonka.ru
hkovma.ru
owsezam.ru
gudlet.ru
pilagi.ru
zyankokhi.ru
iqtaxib.ru
goditsa.ru
ekzofo.ru
rfaksa.ru
liqra.ru
skachatfayl.ru
dwnloader.net
Эти домены также участвует в заражении посетителей сервиса torrentino.com
Все они находятся на IP 146.255.192.214. ДатаЦентр на абьюзы не реагирует :(
Внутри такой же подписанный сертификатом от mail.ru файл.
Я нахожусь в Украине, возможно поэтому мне не выдается файл, подписанный LLC Pentagon.
Update.
(Спустя 16 часов)Появилась надпись при скачке:
Скачивание файла производится при помощи специального загрузчика (троянов) от наших партнеров — Mail.ru и Rambler. Запуск загрузчика абсолютно безопасен для вашего компьютера, что подтверждено цифровой подписью, но возможны ложные срабатывания антивирусов.
Перевожу: С Лабораторией Касперского мы договорились, он не считает эти файлами троянами, а Dr.Web, который классифицирует файлы как трояны, вообще не антивирус.
И получен ответ от распространителей:
От: Николай nik[a]openprog.ru
Вы жалуетесь на Загрузчик (который якобы содержит вирус).
Настоящим уведомляем, что имеет место ложное положительное срабатывание. Сам файл представляет из себя ни что иное, как HTTP-клиент для загрузки любого контента и совершенно точно не является вирусом. Файл подписан цифровой подписью его производителя — компании Mail.Ru и находится на серверах Mail.Ru, что дополнительно подтверждает происхождение и благонадежность этого файла.
Эвристические анализаторы некоторых антивирусов могут срабатывать на внутреннюю структуру и действия этого файла, однако мы гарантируем, что данные срабатывания — ложные.
Если возникают вопросы по файлам, которые распространяются с нашего сервера — просьба писать о них на nik[a]openprog.ru
Еще им не хватает IP и они дозаказали у Датацентра новые :(
