Серед різних партнерських програм (партнерок), що існують в Інтернеті, окрім легальних існують також нелегальні. Це партнерки, що платять за розміщення шкідливого коду.
Вперше я дізнався про таку партнерку ще в 2005 році з новин. Власники партнерки платили адмінам сайтів за розміщення iframe з шкідливим кодом і зараження відвідувачів їхніх сайтів. І з тих пір в онлайн ЗМІ періодично з’являються повідомлення про виявлення нових подібних “шкідливих партнерок”.
Як я зазначав торік в своїй доповіді Системи виявлення інфікованих веб сайтів на конференції UISG та ISACA Kiev Chapter #6, розміщення вірусів адмінами на своїх сайтах, через участь у таких партнерках, є одним з методів поширення шкідливого ПЗ в Інтернеті. Але цей метод менш поширений, порівняно зі створенням вірусних сайтів, на які заманюються відвідувачі через спам (емайл спам, спам на різних сайтах і форумах та використання black SEO методів), та порівняно зі взломом легітимних сайтів і розміщенням вірусів на них.
Тим не менш подібні партнерки існують й увесь час з’являються нові. Прикладом такої партнерки є сайт iframepay.com, що я виявив у лютому під час своїх секюріті досліджень.
Можете ознаймотися з інформацією від Safe Browsing для iframepay.com. За інформацією Google цей сайт зараз є інфікованим і він інфікував 891 сайт (це та кількість учасників цієї партнерки, що була виявлена Гуглом).
Зазначу, що один з інфікований сайтів market-ua.org.ua, про який я писав раніше, був інфікований саме через розміщення коду з цієї партнерської програми. Явно адмін цього сайта свідомо розмістив код iframepay.com, щоб заробити грошей на цій партнерці (знаючи або не знаючи про поширення вірусів через неї).
Домен iframepay.com редиректить на www.web-rom.ru. Схоже, що цей домен належить даному рекламному агентству і саме www.web-rom.ru є головним доменом партнерки. Причому на офіційному сайті партнерки не зазначається про “вірусну спрямованість”, на відміну від тих вірусних партнерок, які про це заявляють публічно. Тому можна стверджувати про наявність двох типів шкідливих партнерок: публічні й непублічні. Й до другого типу може належати будь-яка партнерська програма, власники якої почали розміщувати віруси, або чий сайт був взломаний (тому що будь-яку банерну систему можуть взломати і розмістити через неї шкідливий код).
Ця партнерка працює вже декілька років (з 2008), Не виключено, що вони починали як звичайна партнерка по розміщеню реклами, а з часом почали підсовувати і віруси. Тим самим підставляючи всіх учасників своєї системи, що розмістили її код на своїх сайтах. Які через це опиняються серед числа інфікованих сайтів в serp Гугла та Яндекса й блокуються в цих пошукових системах.
