Как-то среди ночи меня пробила ностальгия и я решил сказать с зайцев.нет композицию Анжелики Варум — «Городок».
Нахожу, подходит битрейт, выбираю mp3 и качаю.
Но почему-то скачался .exe файл… и со странного адреса dls3.moilru.ru/output/.../02/96/6b/9f/audio/varum_anzhelika_-_gorodok_zaycev_net.exe
Что за ерунда думаю.
Выбираю .rar формат, то же скачивается — .exe файл размером на 160KБ.
Запускаю whois по домену и получаю:
domain: MOILRU.RU
nserver: ns1.reg.ru.
nserver: ns2.reg.ru.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private Person
registrar: REGRU-REG-RIPN
admin-contact: http://www.reg.ru/whois/admin_contact
created: 2013.05.13
paid-till: 2014.05.13
free-date: 2014.06.13
source: TCI
Опа! Свеженький!
Заливай файл на ВирусТотал и получаю отчет по файлу.
Скриншоты свойств файла.
Выборочно потыкал другие композиции, везде качается вместо mp3 исполняемый файл.
Cкаченные файлы имеют разный размер, но у всех подпись сертификатом mail.ru.
Мой юзерагент:
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20100101 Firefox/21.0
Меняю его на Андроид. Сразу идет редирект на m.zaycev.net и теперь уже качаются нормальные mp3…
Ничего себе!
Послушал, называется, музычку на ночь.
В комментах мне напомнили другую статью.
P.S. Задаю риторический вопрос — как можно без ведома mail.ru подписать её сертификатом столько разных файлов?
P.P.S. Проверил IP сайта, DNSов и шлюза провайдера — никакого спуфинга. Проверился вторым антивирусом — чисто.
Автор: click0
