Электронные сигареты, тайна фамилии, диеты для похудения, сайты знакомств и прочие рекламные страницы уже давно являются неотъемлемой частью Рунета. Эти сайты могли видеть пользователи и в спам- сообщениях, и в социальных сетях, а также при вводе популярного поискового запроса, или при неосторожном клике по баннеру, и так далее. Аналитики из  «Доктора Веб», так же как и эксперты «Лаборатории Касперского» обратили внимание на данную проблему и рассказали историю про взломы сайтов для перенаправления пользователей на вредоносные программы. Учитывая, что за этим инцидентом скрывается нечто большее, чем просто установка троянцев-блокеров, в «Лаборатории Касперского» решили более детально рассказать о том, что на самом деле происходит, и нанести очередной удар по всем недобросовестным «вебмастерам», причастным к распространению вредоносных программ. Во всей этой истории не так уж и важно, как пользователь попал на вредоносный сайт: через ссылку в спаме, через сайт с эксплойтами или через поисковый запрос — главное, чтобы этого пользователя грамотно «обслужили» и начислили за его приход денежку спамеру, ботоводу или вебмастеру. Для того, чтобы грамотно разруливать пользовательские потоки, злоумышленники используют специальную систему TDS (Traffic Distribution System), которая в зависимости от параметров и перенаправит пользователя на ZIP-архив с троянцем или на сайт с диетой. В случае, описанном в новости от «Доктор Веб», все ссылки на зараженных и специально созданных сайтах имеют следующий вид: hxxp://black.ipua.ru/w/go.php?sid=11&tds-file=drayvera-dlya-monitora-samsung syncmaster-740n hxxp://smile.bzs.su/go.php?sid=1&tds-file=Hp%20scanjet% 202200c%20hp hxxp://soft-zakach.ru/go.php?sid=1&tds-key=drayvera-dlya- zvukovogo-adaptera.  По URL’ам видно, что все эти ссылки ведут на одну TDS, которая называется Simple TDS. После перехода по данным ссылкам пользователя перенаправляют на сайты tdsloadik.ru и megobit.koo1.ru С последнего сайта и загружается вредоносная программа – троянец-блокер. Все сайты связаны со множеством IP-адресов, на которых хостится огромное количество сайтов разной тематики - от порнографии до торрент-трекеров и предложений по загрузке бесплатного Skype.

Пример графа с сайта robtex.com по IP адресу, с которого распространяются троянцы

Теперь о партнёрках. ВРунете существует большое количество партнерских сайтов, которые зарабатывают деньги подобным образом. Это DailyCash, StimulProfit и другие. Но в случае с троянцем-блокером мы имеем дело с партнеркой LoadPays, так как именно в их конфигурационных файлах было обнаружено упоминание сайтов, распространяющих троянцы

Со всеми подобными партнерками «Лаборатории Касперского» борется уже очень давно, и неудивительны пронзительные возгласы «епартнеров», лишающихся притока денег после того, как мы блокируем доступ наших клиентов к таким сайтам.

Сообщение о блокировки доступа к сайтам партнёрки StimulProfit на форуме searchengines.ru