Архів для категорії 'Дослідження'

Інфікований Dropbox

22:40 15.05.2013

В попередні роки я неодноразово писав про інфекцію на відомих сайтах. І зараз розповім про інфікований dropbox.com. Якщо скорочувачі адрес, такі як TinyURL, та соціальні мережі, такі як ВКонтакте, вже давно використовуються для поширення шкідливого коду, то файлообмінники також можуть використовуватися для цього. І нещодавно я виявив подібну ситуацію на сервісі обміну файлами та синхронізації файлів Dropbox.

Наприклад, на tinyurl.com зараз розміщено багато шкідливого ПЗ, так само як це було в 2010 році. Останнього разу підозрілий вміст на цьому сайті був виявлений сьогодні. Шкідливий код може розміщуватися як на сторінках самого сервісу (про відповідні уразливості я писав раніше), так і на тих сайтах, куди він редиректить (бо саме це є призначанням сервісу і цей функціонал використовується для атак на користувачів).

У випадку Dropbox атака відбувається через розміщення шкідливих файлів на серверах сервісу. За даними Google, підозрілий вміст на dropbox.com був виявлений сьогодні. Зафіксовано таке зловмисне програмне забезпечення: 3217 троянів, 2009 вірусів та 1826 експлоітів. За попередні 90 днів на цьому сайті розміщувалося зловмисне програмне забезпечення. Ним заражено 42 домени та він був проміжною ланкою в зараженні 13 інших сайтів.

Як я виявив, шкідливе ПЗ розміщене на доменах dl.dropbox.com і dl.dropboxusercontent.com (маловірогідно, що malware є на основному домені dropbox.com, бо доступ до файлів розміщених на Dropbox відбувається саме на цих доменах). Це статистика для першого домену, а для dl.dropboxusercontent.com маємо наступну статистику. Зафіксовано таке зловмисне програмне забезпечення: 974 троянів, 790 експлоітів та 370 вірусів. За попередні 90 днів ним заражено 424 домени та він був проміжною ланкою в зараженні 11 інших сайтів.

Так що окрім дірок Dropbox, що торік призвели до взлому сервісу, він ще використовується для поширення шкідливого ПЗ. Тому власникам сервісу є куди покращувати його безпеку.

Інфіковані сайти №157

19:28 14.05.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://labsoft.at.ua - інфекція була виявлена 24.04.2013. Зараз сайт входить до переліку підозрілих.
  • http://reafarm.com.ua - інфекція була виявлена 11.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://add.in.ua - інфекція була виявлена 13.05.2013. Зараз сайт не входить до переліку підозрілих.
  • http://clubfoto.at.ua - інфекція була виявлена 03.05.2013. Зараз сайт не входить до переліку підозрілих.
  • http://ykrbiz.com - інфекція була виявлена 12.06.2013. Зараз сайт не входить до переліку підозрілих.

Похакані сайти №225

22:47 08.05.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://utmlviv.gov.ua (хакером LORD H) - 21.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://milicialviv.gov.ua (хакером LORD H) - 21.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://sbuda-rada.gov.ua (хакером ulow) - 19.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://dpsua.com.ua (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
  • http://vnl.com.ua (хакером s13doeL) - 12.03.2013, зараз сайт вже виправлений адмінами
  • http://www.galaxie.com.ua (хакером Hmei7) - 12.03.2013, зараз сайт вже виправлений адмінами
  • http://aclemberg.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
  • http://aerobud-zahid.com.ua (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
  • http://agrosmak.lviv.ua (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
  • http://pokraska-mdf.kiev.ua (хакером rEd X) - 17.04.2013, зараз сайт вже виправлений адмінами

Інфіковані сайти №156

20:03 06.05.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://gdz.org.ua - інфекція була виявлена 25.04.2013. Зараз сайт входить до переліку підозрілих.
  • http://osvitakp.com.ua - інфекція була виявлена 10.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://chutovo.at.ua - інфекція була виявлена 05.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://kam-pod.in.ua - інфекція була виявлена 05.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://dukat.km.ua - інфекція була виявлена 22.03.2013. Зараз сайт не входить до переліку підозрілих.
  • http://1school.vn.ua - інфекція була виявлена 04.03.2013. Зараз сайт входить до переліку підозрілих.
  • http://tenet.km.ua - інфекція була виявлена 21.03.2013. Зараз сайт не входить до переліку підозрілих.
  • http://direktor.at.ua - інфекція була виявлена 04.03.2013. Зараз сайт не входить до переліку підозрілих.
  • http://dir.com.ua - інфекція була виявлена 02.05.2013. Зараз сайт не входить до переліку підозрілих.
  • http://electron-service.com.ua - інфекція була виявлена 05.04.2013. Зараз сайт не входить до переліку підозрілих.

Шостий масовий взлом сайтів на сервері Delta-X

22:40 25.04.2013

З 06.04.2012 по 04.02.2013 відбувся шостий масовий взлом сайтів на сервері Delta-X, після п’ятого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний шостий сервер компанії Delta-X. Взлом складався з багатьох окремих дефейсів. Попередні п’ять масових дефейсів на серверах даної компанії відбувалися в 2010 році.

Всього було взломано 19 сайтів на сервері української компанії Delta-X (IP 91.206.201.15). Це наступні сайти: kroshkadekor.com, www.drivers-nout.com, promland.biz, www.clothescloser.com.ua, obuhivzem.gov.ua, 700-800.com, www.komfort.zt.ua, dom2007.com.ua, vadmart.net, viver.net.ua, www.kotovsk-teplokomunenergo.com.ua, www.sitlie.com, pulsarmodel.net, www.uslugikiev.com, ustars.org.ua, artcollege.dn.ua, auto-forum.ikoleso.com.ua, test.music4us.com.ua, divar.com.ua. Серед них український державний сайт obuhivzem.gov.ua.

Дефейси по одному сайту булу проведені хакерами ZoRRoKiN, Newbie3viLc063s, ArTiN, AkSuVaRi, ha4k3r, Aerul Da White-Hkc, Hmei7, david becker, Momik, DaiLexX і netcat та по два сайти хакерами Sejeal, misafir, 1923Turk і TURK KURSUNU.

Враховуючи велику кількість окремих дефейсів по одному або два сайти, всі вони явно були зроблені при взломах окремих сайтів.

Похакані сайти №224

22:48 24.04.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://koryukivka-rada.gov.ua (хакером Hmei7) - 09.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://rekord.gov.ua (хакером Hmei7) - 10.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://belwitec.com.ua (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
  • http://cargo-euro.com (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
  • http://dju.org.ua (хакером rEd X) - 17.04.2013, зараз сайт вже виправлений адмінами

Інфіковані сайти №155

22:46 23.04.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://pk-alligator.com.ua - інфекція була виявлена 05.04.2013. Зараз сайт входить до переліку підозрілих.
  • http://top.zp.ua - інфекція була виявлена 21.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://volfy.at.ua - інфекція була виявлена 18.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://best.ua - інфекція була виявлена 23.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://gorlovkadosk.net.ua - інфекція була виявлена 12.04.2013. Зараз сайт не входить до переліку підозрілих.

Інфікованість Уанета за останні роки

22:41 19.04.2013

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2010 - 2012 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2010, 2011 і 2012 роках.

За весь 2010 рік в Уанеті було інфіковано 264 веб сайтів.

За весь 2011 рік в Уанеті було інфіковано 233 веб сайтів.

За весь 2012 рік в Уанеті було інфіковано 202 веб сайтів.

Інфіковані сайти в Уанеті

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси). Деяке зменшення кількості інфікованих сайтів в 2012 році явно пов’язане з тим, що торік я менше займався дослідженням інфікованих сайтів із-за своєї зайнятості.

Динаміка зараження сайтів в Уанеті.

В 2010 році активність зросла на 294% порівняно з 2009 роком (зростання в 3,94 рази). В порівнянні з 2008 роком активність зросла на 6500% (в 66 разів).

В 2011 році активність зменшилась на 11% порівняно з 2010 роком (спад в 1,1 рази). В порівнянні з 2008 роком активність зросла на 5725% (в 58,25 разів).

В 2012 році активність зменшилась на 13% порівняно з 2011 роком (спад в 1,15 рази). В порівнянні з 2008 роком активність зросла на 4950% (в 50,5 разів).

Динаміка зараження сайтів в Уанеті

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика. І хоча через зменшення моїх досліджень наявне загальне зменшення динаміки в останні два роки, кількість інфікованих державних сайтів зросла.

Похакані сайти №223

22:41 18.04.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.gutszndn.gov.ua (хакером Sejeal) - 04.02.2013 - похаканий державний сайт, дефейс на сайті вже виправлений адмінами, але зараз він взломаний black SEO і на ньому розміщені лінки на порно сайти
  • http://romen-region.gov.ua (хакерами з Kosova Hackers Crew) - 07.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://paritet-info.com (хакером Sejeal) - 21.01.2013, зараз сайт вже виправлений адмінами
  • http://srkom.snu.edu.ua (хакером joker)
  • http://vipdirection.com (хакером haxorsistz) - 04.2013, зараз сайт вже виправлений адмінами

Інфіковані хостери в 2012 році

22:45 17.04.2013

В своїх звітах про Інфіковані хостери в 1 півріччі 2012 року та Інфіковані хостери в 2 півріччі 2012 року я розповів, що в Уанеті було 98 інфікованих сайтів в першому півріччі та 105 інфікованих сайти в другому півріччі минулого року, і навів перелік хостерів, що хостили ці інфіковані сайти. А зараз наведу загальний перелік інфікованих хостерів за весь рік.

Всього в 2012 році було інфіковано 203 сайти (виявлених мною), при цьому один сайт був інфікований в першому і в другому півріччі. Всього було 80 провайдерів, що розміщували дані сайти.

Багато з цих хостінг провайдерів, робили це як в першому, так і другому півріччі минулого року (16 провайдерів), а деякі робили це і 2011 року. Тобто це в них звичайна практика. Цей звіт призначений для того, щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В минулому році наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB, Adamant, Amazon Web Services, Autocenter, Besthosting, BitterNet, Black Sea, BSB Service, CaroNet, Cityhost, Citynet, CloudFlare, Colocall, Compubyte Limited, Crimea Internet Services, Datagroup, DCKIEVUA, Delta-X, Dream Line, Freehost, Golden Telecom, Goodnet, Hetzner, HomeUA, Host VDS, Hosting.UA, HostLife, HostPro, Hvosting, iHome, Incapsula, Inetmar, Infocom, Internet-Hosting, Inter-Telecom, iomart Hosting, Keyweb Online, Lancom, Lan-Telecom, LeaseWeb, Limestone Networks, LuckyNet, Lux, Master-Service, MiroHost, NAU, Root, ServerBeach, Service Online, Smarty Media, SpaceWeb, STC Energy, SteepHost, Tangram Ukraine, Taras Shevchenko University of Kyiv Network, Telegroup-Ukraine, Telepark, Terabit, TEST, TOP NET, Triolan, UA Servers, Uadomen, UARNet, Ukrainehosting, Ukrainian Hosting, Ukrhosting, Ukrnames, UN, Unlim, Uplink, Valor, Vizor, Volia, VolumeDrive, Webalta, Wnet, Візор, Пряма Мова, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

  1. Freehost - 17 сайтів
  2. Delta-X - 15 сайтів
  3. Volia - 11 сайтів
  4. Besthosting - 8 сайтів
  5. Hetzner - 8 сайтів
  6. MiroHost - 8 сайтів
  7. Adamant - 7 сайтів
  8. Compubyte Limited - 7 сайтів
  9. UARNet - 6 сайтів
  10. Infocom - 5 сайтів

Всього було виявлено хостінги 196 сайтів з 203. У випадку інших 7 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).