شناسايی تبليغ‌افزارهای مخرب بر روی ياهو

شماره: IRCNE2014012060
تاريخ:16/10/92

با توجه به Fox-IT، در تاريخ سوم ژوئن رايانه هايي كه سايت ياهو را مشاهده كردند به بدافزار آلوده شده اند. تجزيه و تحليل هاي جديد نشان مي دهد كه ياهو در حال برطرف كردن اين مشكل است و ترافيك حمله به طور قابل ملاحظه اي كاهش يافته است.

تبليغ افزاها در فرم IFRAME ها بر روي دامنه هاي زير ميزباني مي شوند:

• blistartoncom.org (192.133.137.59) ثبت شده در اول ژانويه 2014
• slaptonitkons.net (192.133.137.100) ثبت شده در اول ژانويه 2014
• original-filmsonline.com (192.133.137.63)
• funnyboobsonline.org (192.133.137.247)
• yagerass.org (192.133.137.56)

اين تبليغ افزارها كاربران را به سمت سايتي هدايت مي كنند كه از بسته سوء استفاده Magnitude استفاده مي كند. به نظر مي رسد تمامي اين تبليغ افزارها از يك آدرس IP واحد در هلند استفاده مي كنند. بسته سوء استفاده در اين سايت ها براي نصب انواع بدافزارها، از آسيب پذيري هاي جاوا بر روي كلاينت سوء استفاده مي كند. بدافزارهايي كه در نتيجه اين حمله بر روي كلانيت ها نصب شدند، عبارتند از: زئوس، آندرومدا، Dorkbot/Ngr، Advertisement clicking malware، Tinba/Zusy و Necurs.
محققان Fox-IT نشان دادند كه 83 درصد اين حملات در روماني، انگلستان، فرانسه و پاكستان اتفاق افتاده است. آن ها توصيه مي كنند تا زير شبكه هاي 192.133.137/24 و 193.169.245/24 بر روي كليه سيستم ها مسدود شوند.