Компания Fox-IT благодаря своему сервису мониторинга вирусной активности обнаружила, что у некоторых клиентов из Европы появляются вирусы после посещения сайта yahoo.com (европейские версии). Проведенное расследование показало, что причиной инфицирования стали баннеры с ads.yahoo.com. Они содержали фреймы, загружающие контент со следующих доменов:
- blistartoncom.org (192.133.137.59), зарегистрирован 1 января 2014 г.
- slaptonitkons.net (192.133.137.100), зарегистрирован 1 января 2014 г.
- original-filmsonline.com (192.133.137.63)
- funnyboobsonline.org (192.133.137.247)
- yagerass.org (192.133.137.56)
Старая техника инфицирования через баннеры сработала классически. При открытии зараженного баннера пользователя направляли на страницу с набором эксплоитов Magnitude, зарегистрированную на одном из множества поддоменов boxsdiscussing.net, crisisreverse.net, limitingbeyond.net и др. Все эти сайты размещались на единственном IP-адресе 193.169.245.78. Вероятно, это голландский адрес.
Набор эксплоитов использовал уязвимости в Java и устанавливал на компьютеры жертв целый букет программного обеспечения.
- ZeuS
- Andromeda
- Dorkbot/Ngrbot
- Программа для нажатий на рекламные объявления
- Tinba/Zusy
- Necurs
Расследование показало, что первые случаи заражения произошли 30 декабря 2013 года, а компания Yahoo убрала баннеры вечером 3 января 2014 года. По приблизительным оценкам, аудитория вредоносных баннеров составляет около 300 тыс. человек в час, а процент инфицированных — около 9%. Таким образом, количество зараженных пользователей можно оценить в 27 тыс. в час. Наибольшее количество заражений пришлось на Румынию, Великобританию и Францию.
