Pull to refresh

Распространение троянов через flash баннеры

Reading time 3 min
Views 2.5K
Внимание: будьте бдительны при размещении flash баннеров!

Предыстория.
Я владелец довольно популярного ресурса. Некоторое время назад было несколько обращений с просьбой разместить «не приносящие никакого вреда iframe». От таких предложений отказывались, ибо карма важнее.)

Вчера обратился человек, с предложением разместить небольшой flash баннер, c рекламой БМВ-клуба. Код оказался с неприятным троянским «бонусом».
UPD!: отписался в поддержку Яндекса. Ответили. Поблагодарили и уведомили, что код отослан на анализ в соответствующий отдел. mini victory?)
остальные UPDs под катом

Приведу код полностью:
<!-- BANER CODE -->
<div align="center">
<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" width="100" height="100" id="FlashID" title="flash">
<param name="movie" value="/bmw.swf" />
<param name="quality" value="high" />
<param name="wmode" value="opaque" />
<param name="swfversion" value="9.0.45.0" />
<object type="application/x-shockwave-flash" data="/bmw.swf" width="100" height="100">
  <param name="quality" value="high" />
  <param name="wmode" value="opaque" />
  <param name="swfversion" value="9.0.45.0" />
  <param name="expressinstall" value="Scripts/expressInstall.swf" />
     <h4>Content on this page requires a newer version of Adobe Flash Player.</h4>
     <p><a href="http://www.adobe.com/go/getflashplayer"><img src="http://www.adobe.com/images/shared/download_buttons/get_flash_player.gif" alt="Get Adobe Flash player" width="100" height="100" /></a></p>
</object>
</object>
</div>
  <div>
      <div align="center" id="res">Всё о BMW</div>
</div>
<xscript type="text/javascript">
function banner (str){document.getElementById('res').innerHTML = str;return(str)};
</script>
<!-- / BANER CODE -->


* This source code was highlighted with Source Code Highlighter.


Обратите внимание на нижнюю часть кода, точнее на функцию banner, именно она и вызвала подозрение. Только не сразу было понятно, кто же должен вызвать эту функцию. Оказалось, сам flash баннер вызывал эту функцию и создавал на странице скрытый iframe, через который пользователям планировалось подгружать троян.
Вот такая история.

Будте бдительны!

По запросу, могу предоставить контакты «героя», который предлагал разместить подобный баннер.
UPD: прошу специалистов дать совет, куда можно сдать распространителя троянов?

UPD2: даю адрес рекламируемого им БМВ клуба. www.bmwclub.ua. Заходим в его статистику li.ru и смотрим источники трафика (http://www.liveinternet.ru/stat/bmw.kiev.ua/sources.html). Находим, к примеру, сайт www.tosti.ru (посещаемость более 100к) и видим размещенный на нем баннер с флеш трояном. Администрации тостов я отпишусь, если есть у кого возможность, прочешите и сделайте рассылку администрации других порталов (если волонтера не найдется, сделаю вечером сам).
P.S.: по словам троянораспространителя он никакого отношения к бмв-клубу не имеет. цитата: «наше агентство посредник между площадкой и рекламодателем.»
Tags:
Hubs:
+113
Comments 74
Comments Comments 74

Articles