В России платят 6 центов за заражение

[SDA]

Поистине отвратительным можно назвать тот бизнес, который придумали «бизнесмены» из Нижнего Новгорода. Они предлагают веб-мастерам заражать посетителей своих сайтов и платят 6 центов за каждое заражение.

Речь идет о сайте iframeDOLLARS.biz, зарегистрированном на имя Ника Федорова из Нижнего Новгорода. Там размещены условия так называемой «партнерской программы», по которой веб-мастерам предлагается установить на своих ресурсах вредоносный эксплоит, эксплуатирующий многочисленные уязвимости в Windows и Internet Explorer. Непропатченные компьютеры, на которых загружается этот сайт, получают весь спектр вредоносных программ: трояны, шпионское и рекламное ПО. При этом iframeDOLLARS платит веб-мастерам $61 за каждую 1000 инсталляций, то есть по шесть центов за одну зараженную систему.

Фактически, злоумышленники переходят от подпольного движения и скрытного ведения дел к открытому бизнесу, нанимая к себе на работу независимых веб-мастеров. Они даже не стесняются указывать UIN для связи: 291994264. Это действительно неслыханно! Удивительно, что такой сайт как iframeDOLLARS до сих пор не закрыт и продолжает нормально функционировать в интернете, но это факт.

Русская фирма рекламирует свой «продукт», который работает «без консоли ActiveX и без каких-либо всплывающих окон, это значит что вы не потеряете своих уникальных посетителей». Другими словами, посетители могут даже и не узнать, какой именно сайт их заразил. Какой-нибудь популярный ресурс размещает эксплоит на один день, «срубает бабки» и затем убирает его, чтобы замести следы. На самом деле, русские придумали отвратительный бизнес — здесь мы можем согласиться с зарубежными экспертами.

По статистике вредоносного сайта, они уже выплатили своим партнерам $11 890, что соответствует почти 195 тыс. зараженных ПК: «С нами работает более 200 веб-мастеров», — хвастаются они.

Но бизнес у нижегородцев довольно стремный. Они вынуждены учитывать интересы различных хакерских групп и избегать внимания со стороны правосудия, поэтому на сайте содержится заявление: «Мы не покупаем российский и азиатский (японский, корейский, китайский) трафик».

По оценке экспертов, владельцы iframeDOLLARS могут зарабатывать до $75 тыс. в год на трафике через рекламное ПО, которое они установили на зараженных ПК за последнюю неделю и которое стоило им меньше $12 тыс. Действительно, выгодный бизнес.

Предотвратить установку на свой компьютер вредоносных программ можно путем блокирования IP-адреса 81.222.131.59.

Источник: webplanet.ru

[SDA]

Бизнес идет вовсю:
# Everyone is welcome to join the iframeDOLLARS.biz partnership program
# Earn $0.061 ($61.00/1000 installs) and more for each unique iframe installs
# You only put the short one line iframe code on your page(s) and start to MAKE MONEY
# WITHOUT any Active-X console or any pop-ups...It means that you will not lose your unique visitors with our iframe!
# The best percentage of installs (10-40% from the total traff or it’s $4-$15 FOR 1000 UNIQUE VISITORS)
# DAILY updated soft
# We have 3 reliable servers with excellent speed
# Payments every Tuesday
# Real-time statictic of your work
# Payment via: Fethard, Webmoney, Wire, E-gold and Western Union
# More than 200 webmasters work with us
# Special offer to TGP posters We'll help you do money imperceptibly
# Friendly support service
# Everybody who works with us is satisfied.
http://iframedollars.biz/index.php

[HATTIFNATTOR]

http://toolbarpartner.com/

[Geser]

Мда, наглости нет предела

[SDA]

Небольшие посты:
".....из статьи следует, что за неделю выплачено $12к.
Это значит, что трояны проинсталлились у 200.000 уникальных серферов. Средняя пробиваемость трафа эксплойтами не превышает 10% на сегодняшний день. Они не берут китай, россию и многих других - это как минимум половина трафа в сети. Из этого следует, что через сервера этой конторы за неделю прошло минимум 4 млн уников (~600.000 в день)
Каждый из них сделал минимум десяток реквестов к серверу (ифрейм, редиректы по ОС и языкам, лоадер, компоненты трояна, статистика и т.д. и т.п.). Имеем 60 млн реквестов в неделю.
Это как минимум выделенный сервак и хороший канал. Без поддержки хостера и абузоустойчивых тоннелей такая партнерка и двух дней не проживет - завалят жалобами и самого хостера и того, кто над ним и прочих
Брандмауэр, за которым сокрыт хостинг
64 bytes from xxx: icmp_seq=1 ttl=61 time=7.73 ms
64 bytes from xxx: icmp_seq=2 ttl=61 time=7.61 ms
64 bytes from xxx: icmp_seq=3 ttl=61 time=9.30 ms
64 bytes from xxx: icmp_seq=4 ttl=61 time=8.29 ms
64 bytes from xxx: icmp_seq=5 ttl=61 time=8.44 ms
64 bytes from xxx: icmp_seq=6 ttl=61 time=8.60 ms

2. До сайта
64 bytes from 81.222.131.59: icmp_seq=1 ttl=55 time=212 ms
64 bytes from 81.222.131.59: icmp_seq=3 ttl=55 time=219 ms
64 bytes from 81.222.131.59: icmp_seq=4 ttl=55 time=220 ms
64 bytes from 81.222.131.59: icmp_seq=5 ttl=55 time=227 ms
64 bytes from 81.222.131.59: icmp_seq=6 ttl=55 time=185 ms
64 bytes from 81.222.131.59: icmp_seq=7 ttl=55 time=177 ms

"Почувствуйет разницу" - шесть дополнителльных хопов и более 200 мсек задержки. Очевидно, что этот хост находится неблизко
iframeDOLLARS - ОФИЦИАЛЬНО ЗАЯВЛЯЕМ - ТРОЯНОВ НЕТ!

Уважаемые вебмастера и сочувствующие люди!
ПРИСОЕДИНЯЙТЕСЬ!
Наши клиенты не жалуются - это лучший показатель успешности фирмы!

С наилучшими пожеланиями, команда iframeDOLLARS.

Официально заявляю: распространяют троян BackDoor.Haxdoor

http://www.viruslist.com/ru/viruses/...ia?virusid=768 09

который ворует е-бай, e-gold, WM кошельки итд.
так же вытаскивает пароли из аутлук экспресса и пароли из кэша винды (вся эта инфа в текстовом виде хранится в логое, который создайт троян, расширение *.a3d).

Предлагаю:
1) настучать на них в WM (всё таки они должны быть заинтересованы в удалении таких сайтов)
2) настучать на них в МВД в отдел по борьбе с преступлнниями в сфере высоких технологий"
Грузят они вот с этого IP: 81.222.131.59, (если верить вебпланете, откуда содрана статья) Этот адрес принадлежит ЗАО "Элтел" (hostway.ru) и WHOIS выдает по ним совершенно корректную и достаточно полную информацию.

PS. Каналы у Элтела изрядно толстые и выходят в основные центры обмена трафиком Европы и Америки (про Азию не знаю). Скорей всего организаторы просто арендуют сервер или держат свой на colocation. Готов допустить, что в данном случае провайдер может пока и не догадываться о характере деятельности своего клиента
Сам сервер 100% находится за бугром и тот хостер к этому IP отношения не имеет. IP этот - это просто тоннель до трояна. В самом "Элтел" нет ничего, кроме IP, тоже все чисто.
Вот и получается, что буржуи получают трояны с американского сервера но с русского IP. Для них это выглядит так, что они получают говно из россии, хотя само говно физически находится в штатах. И хрен ты их вычислишь без наезда на хостера...." ну и т.д.