Mail.Ru тестирует новый способ заражения компьютеров

в 23:47, , рубрики: mail.ru, вирусы, Вирусы (и антивирусы), информационная безопасность, трояны, метки: , ,

Mail.Ru тестирует новый способ заражения компьютеров
Как-то среди ночи меня пробила ностальгия и я решил сказать с зайцев.нет композицию Анжелики Варум — «Городок».

Нахожу, подходит битрейт, выбираю mp3 и качаю.

Но почему-то скачался .exe файл… и со странного адреса dls3.moilru.ru/output/.../02/96/6b/9f/audio/varum_anzhelika_-_gorodok_zaycev_net.exe
Что за ерунда думаю.

Выбираю .rar формат, то же скачивается — .exe файл размером на 160KБ.

Запускаю whois по домену и получаю:

domain:        MOILRU.RU
nserver:       ns1.reg.ru.
nserver:       ns2.reg.ru.
state:         REGISTERED, DELEGATED, UNVERIFIED
person:        Private Person
registrar:     REGRU-REG-RIPN
admin-contact: http://www.reg.ru/whois/admin_contact
created:       2013.05.13
paid-till:     2014.05.13
free-date:     2014.06.13
source:        TCI

Опа! Свеженький!

Заливай файл на ВирусТотал и получаю отчет по файлу.

Скриншоты свойств файла.
Mail.Ru тестирует новый способ заражения компьютеров Mail.Ru тестирует новый способ заражения компьютеров Mail.Ru тестирует новый способ заражения компьютеров

Выборочно потыкал другие композиции, везде качается вместо mp3 исполняемый файл.

Cкаченные файлы имеют разный размер, но у всех подпись сертификатом mail.ru.

Мой юзерагент:

Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20100101 Firefox/21.0

Меняю его на Андроид. Сразу идет редирект на m.zaycev.net и теперь уже качаются нормальные mp3…

Ничего себе!
Послушал, называется, музычку на ночь.

В комментах мне напомнили другую статью.

P.S. Задаю риторический вопрос — как можно без ведома mail.ru подписать её сертификатом столько разных файлов?

P.P.S. Проверил IP сайта, DNSов и шлюза провайдера — никакого спуфинга. Проверился вторым антивирусом — чисто.

Автор: click0

Источник


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js