Веб-угрозы за сентябрь 2016 по статистике веб-сканера ReScan.pro

Согласно статистике веб-сканера ReScan.pro, через который еженедельно проходит несколько тысяч веб-ресурсов, средние показатели заражений сайтов в сентябре держались на уровне 31% (+8%). То есть примерно треть проверяемых сайтов содержит код, который угрожает или безопасности посетителей, или техническим показателям сайта.

Статистика_веб-сканера_ReScan_pro 2

В среднем показатели по проблемным сайтам следующие:

  • 16% (+1%) проверямых сайтов содержали вирусный код в HTML страницах
  • 7% (+1%) проверяемых сайтов содержали вирусы в загружаемых javascript файлах
  • 9% сайтов перенаправляли посетителей на сторонние ресурсы (рекламные, мошеннические и вредоносные)
  • 5% сайтов находилось в блек-листе сервисов VirusTotal
  • 9% (+4%) сайтов были под санкциями Яндекса
  • 3% сайтов были под санкциями Google

Абсолютным лидером по числу заражений по-прежнему за вредоносной кампанией bokotraffic.com и схожий с ним redirectoffers.org.

Статистика_веб-сканера_ReScan_pro

В TOP20 доменов, на которые выполняется несанкционированные редиректы вошли в этом месяце:

  • v2mllavender.com (39%) – редирект на рекламные и мошеннические сайты
  • redirectoffers.org (18%) (новый в лидерах) – редирект на рекламные и мошеннические сайты
  • web-redirect.ru (9%) – редирект на вредоносные загрузки и мошеннические сайты
  • go.padsdel.com (5%) – редирект на рекламные сайты
  • ad2up.com (2%) – редирект на мошеннические сайты и опасные загрузки
  • voluumtrk.com – редирект на мошеннические сайты и опасные загрузки
  • googlejavascript.com – мобильный редирект на рекламные страницы
  • w3-org.cc – мобильный редирект на мошеннические сайты
  • bitly.com – редирект на опасные сайты через сервис сокращения ссылок
  • v2mllavender.com – редирект на рекламные и мошеннические сайты
  • mob-redirect.ru – редирект мобильных пользователей на вредоносные загрузки
  • padsdel.com – редирект на рекламные сайты
  • goo.gl – редирект на опасные сайты через сервис сокращения ссылок
  • trtla.space – редирект с тизерной рекламной сети
  • plins.ru – редирект на рекламные сайты
  • 185.93.187.41 – редирект на мошеннические сайты
  • a.c0594.com – редирект на рекламные сайты
  • luxurytds.com – скрытые редиректы посетителей на рекламные сайты
  • buykeyonline.com — продажа регистрационных ключей для Windows приложений
  • vyhub.com – мобильный редирект на рекламные сайты

Текущую статистику веб-сканера по веб-угрозам можно смотреть на странице https://rescan.pro/stat.php (обновляется раз в час).

В этом месяце началась и завершилась вредоносная кампания с заражением Joomla сайтов, при которой подгружался вирусный код с одного из следующих хостов:

  • 4lmbkpqrklqv.net
  • j8le7s5q745e.org
  • fg1238tq38le.nett

В Joomla-шаблонах данный код выглядел как вставка:

index_php_—_redirect

Через 3 недели данные домены завершили свой жизненный цикл и в данный момент не отвечают. На сайтах с этим заражением еще могут обнаруживаться вставки кода

test_php_—_redirect

Еще одним громким событием была вредоносная кампания с использованием Google Adsense. На сайтах с кодом этой рекламной сети в первую неделю октября посетителям, заходящим с Android устройств или читающих сайты через Feedly, подгружался вредоносный MyAndroidSpeedUp.apk файл, являющийся трояном. Подобный эффективный вариант распространения вредоносного файла посетители наблюдали в начале августа также на сайтах с установленным кодом Google Adsense.

Подробно прочитать о данном вредоносном коде и впечатлениях пострадавших можно по ссылкам:

  • http://www.cy-pr.com/forum/f26/t94629/m995954
  • http://4pda.ru/forum/index.php?showtopic=762443&st=0#entry51874030
  • https://forums.overclockers.ru/viewtopic.php?f=9&t=564588&p=14150672
  • http://eer.ru/a/article/u126889/2016/08/05/53493