В "Яндексе" подбили статистику по самым активным распространителям вредоносного ПО через рекламные блоки партнёрских программ, построенных на CMS AdminStation. Среди соответствующих бирж трафика заражены более 140.
Команда безопасного поиска "Яндекса" следила за активностью этих бирж трафика с 22 июня по 28 июля этого года и выделила 11 наиболее активных разносчиков заразы. Это traffbiz.net, maroder.info, medianaft.ru, wmip.ru, gold-wm.ru, royal-traff.ru, trfmxk.info, code-iframe.co.cc, traffbiz.ath.cx, alb-music.ru и protrafv2.com (в порядке убывания вредоносной активности).
Вебмастера, принимающие участие в партнёрских программах этих ресурсов, сознательно или же неосознанно распространяют вредоносное ПО через рекламные блоки. Интересно, что некоторые из адвертов явно "тупо зашибают бабло" и, если и не догадываются о том, в какой схеме принимают участие, то вряд ли их это в принципе сильно беспокоит.
Так, лидирующий адверт биржи medianaft.ru почти весь трафик прогоняет через адверта биржи royal-traff.ru, который там также лидирует. Можно предположить, что эти адверты являются одним и тем же лицом, которое без спросу перекидывает посетителей с сайта на сайт.
В "Яндексе" также отмечают, что часть из попавших в статистику бирж в июле (почти во всех случаях — в первую неделю этого месяца) практически прекратили распространять вредоносное ПО. С чем это связано, неизвестно.
Среди наиболее популярных вредоносных программ, распространяющихся через рекламу, присутствуют некий блокиратор доступа к соцсетям "ВКонтакте" и "Одноклассники", некий блокиратор операционной системы, а также банковский троян, присутствующий в классификации Symantec под именем Carberp. Первые два вредоноса крайне плохо отлавливались антивирусами на момент проверки, осуществлённой 28 июля: по данным VirusTotal, их детектировали соответственно только 2 и 10 из 43 антивирусов.
"При использовании бирж трафика вебмастер очень часто сам добавляет блок заражённой партнёрской программы на страницы своего сайта. Поэтому основная рекомендация для вебмастеров в данном случае — сначала изучить репутацию сети, и только после этого размещать у себя её блоки, — советуют в "Яндексе". — В некоторых случаях вредоносный код может попадать на страницы сайта из блоков известных, обладающих хорошей репутацией рекламных сетей, но это скорее единичные ошибки этих сетей, а не закономерность и уж точно не основной бизнес".
Несмотря на основательный вид исследования, эксперты "Вебпланеты" полагают, что данное исследование нельзя считать непредвзятым. Дело в том, что "Яндекс" вообще-то не специализируется на безопасности. Если Google начал предупреждать о зараженных сайтах в поисковой выдаче еще в 2006 году, то "Яндекс" дошел до этого лишь в 2009-м, причем на основе технологий от Sophos. И только в прошлом году поисковик анонсировал некую собственную разработку для отлова зараженных страниц.
Основным же бизнесом "Яндекса" является реклама. Таким образом, исследование партнерок по сути является наездом на конкурентов.
Между тем, системы контекстной рекламы, на которых зарабатывают поисковики-лидеры, тоже не всегда безобидны. Недавно Dr.Web начал блокировать рекламные блоки Google AdSense как угрозу безопасности. Ну а рекламная крутилка "Яндекс.Директ" сама не раз приводила к зависанию сайтов, на которых она установлена.
Источник: Вебпланета
|