Создатель Акавиты знал о наличии adware, но ничего не предпринимал. Все указывает на то, что он намеренно встроил этот код с целью заработать на нем.
Создатель Акавиты Федор Короленко. Фото с его страницы в фейсбуке.
Adware называют вредоносное программное обеспечение, главная цель которого — показ рекламы.
Многие adware ведут себя, как шпионские программы (spyware).
Для начала, несколько абзацев с описанием того, как мы обнаружили факт с Акавитой. Кого они не интересуют, тот может просто их пролистать и перейти к тексту с анализом.
Один из волонтеров, которые помогают с обслуживанием сайта «Нашей Нивы», между делом взглянул на представление главной страницы nn.by через https://tools.pingdom.com/#!/oNsO4/nn.by.
На этом сайте можно выбрать, с какого IP этот tools.pingdom.com посылает запросы на nn.by. Если мы выбираем шведский или любой другой, кроме Dallas, Texas, USA, то среди http-запросов, которые этот инструмент делает при загрузке «Нашей Нивы», есть уйма запросов на китайский сайт продажи товаров Aliexpress, что ведет к загрузке нескольких мегабайтов картинок и ресурсов.
Иными словами, вы открываете «Нашу Ниву», а система заодно подгружает вам рекламные страницы с Aliexpress. Вы их не видите, но трафик идет.
Между тем Aliexpress не размещает рекламы на nn.by. Поэтому мы посчитали ситуацию нездоровой, и решили разобраться.
В самых первых запросах на Aliexpress referer — это http://isoghy.com/?6zqtSp.
Никаких рекламных договоров у нас с isoghy.com нет.
Таким образом, кто-то размещает неизвестную информацию на нашей странице в обход нас. А завтра начнет порнографию распространять?
Мы стали искать, где стоит скрипт, который подсовывает нам рекламу Aliexpress. Оказалось, он встроен в счетчик Акавиты. Когда мы его отключали, то и реклама пропадала.
Мы проверили другие сайты. Даже сайт государственного агентства БелТА и сайт Комитета государственного контроля имеют проблему с Aliexpress — а значит, содержат и встроенный через счетчик adware.
Adware встроен в новой версии кода Акавиты. Старую версию кода на новую создатель интернет-счетчика Федор Короленко попросил заменить несколько месяцев тому назад.
Объяснял он это так: «Акавита наконец переходит на новый движок, будет правильнее вести подсчет, и появится не только новая статистика, но и дополнительные функции и возможности для владельцев сайтов. Но на сайте «НН» очень старый код, поэтому прошу заменить на новый, чтобы все работало современно и сайт остался в рейтинге».
Код, который распространяет рекламу, нам удалось выявить, зайдя на НН через веб-прокси http://nn.by.se2.gsr.awhoer.net/.
Как оказалось, iframe имеет ширину и высоту в 1 пиксель. Это микроскопическая точка, которую невооруженным глазом не увидишь. Видимо, тот, кто ее добавлял, обманывает и Aliexpress, так как они ему, конечно же, зачисляют показы их рекламы, хотя никто увидеть рекламу физически не может.
Мы написали владельцу Акавиты Федору Короленко, что обнаружили в счетчике встроенную рекламу Aliexpress, которая сильно подгружает сайт.
«На сервере был вирус, уже починили, но может, где-то в кэше осталось, сейчас попрошу админа посмотреть», — ответил он нам. И действительно, через какое-то время наш скрипт счетчика перестал содержать Iframe трояна.
Но мы не остановились на этом. Нас заинтересовали еще два момента.
Первое, что обратило наше внимание при анализе, сайт Хартии-97, хотя и содержит счетчик Акавиты, был, пожалуй, единственным, который не имел проблемы с Aliexpress.
Во-вторых, когда через несколько дней мы проверили другие сайты со счетчиками Акавиты с одного и того же сервера, то увидели, что у всех, кроме NN.BY и все той же Хартии-97, вирусный код остался.
Если бы Акавита действительно удалила тот вирусный код, то все сайты стали бы «чистыми». Однако только НН, которая забила тревогу, не содержит «рекламы» Aliexpress. А остальные почему-то и поныне эту «рекламу» содержат. Очень похоже на то, что сотрудники Акавиты сделали исключение теперь и для «НН».
В этой ситуации нас настораживал и тот факт, что после стольких лет работы старой версии счетчика владелец Акавиты решил обновить его.
Мы стали искать, на кого зарегистрирован домен isoghy.com. То есть кому принадлежит сервис, который отправляет запросы на Aliexpress. В whois эта информация скрыта. Регистратор у них — imena.ua, но регистратор не раскрывает персональных данных регистрантов, пожелавшие остаться анонимными.
Однако мы можем выяснить IP-адрес сайта isoghy.com — того, который загружает рекламу Aliexpress. Это ip 176.9.8.189. Потом через различные открытые источники ищем другие сайты с таким же ip. Среди прочих отыскали uberalles.org.
Теперь проверяем, кто владеет доменом uberalles.org через сервис whois: https://www.whois.com/whois/uberalles.org (секция RAW WHOIS DATA).
И таким образом, мы видим того, на кого зарегистрирован сайт: Fiodar Karalenka, житель города Жодино.
Это, конечно, может быть совпадением, но мы получили еще одно возможное звено в логической цепочке.
Осталась «загадка «Хартии»».
«Контактировали ли вы с Акавитой насчет рекламы Aliexpress, которая через их счетчик идет?» — спросили мы у редактора Хартии Натальи Радиной. — «Почему такой вопрос возник?» — переспросила она. — «Потому что увидели, что с нашего сайта через них идет трафик на Aliexpress, а с вашего — нет». — «Да, мы их поймали на этом», — подтвердила нам Радина.
Таким образом, Акавита отключила вредоносный код только для Хартии после их обращения.
И отключила затем для «НН» — после нашего обращения.
Но на тысячах сайтов он остался, включая сайты и Министерства финансов, и газеты «Ганцавіцкі час».
Может ли Акавита избирательно вычистить adware из счетчика? Абсолютно просто. Сервер смотрит, на какой адрес загружается javascript-код счетчика (адрес страницы, которая инициировала запрос, браузер передает на сервер в заголовке Referer). Он проверяет, если это адрес с сайта nn.by или charter97.org, то «рекламу» не показывает.
Вот в чем опасность: люди доверяют Акавите и устанавливают ее javascript-код на свой сайт. И если на сайте есть админка, то через этот javascript-код гипотетически можно до нее добраться. Через этот же код можно распространять вирусы, собирать сведения, которые могут деанонимизировать пользователя. Таким образом, это опасность как для пользователей, так и для владельцев ресурса.
Скрипты, которые наносят вред пользователям, — это и удар по репутации владельца сайта.
И еще. Довольно цинично придумано, что контент сайта isoghy.com — о книгах и по-белорусски. Казалось бы, какое хорошее начинание.
Счетчик Акавита существует с 1999 года. Его создатель назвал счетчик словом «Акавита» — это старобелорусское название водки или спирта, от латинского выражения «аква вите», живая вода.
Как счетчик, Акавита за время своего существования постепенно утрачивал функциональность, по-видимому, по мере того как угасал пыл его владельца. Перестал действовать сбор статистики за месяц и неделю. С переходом на новый скрипт счетчик перестал показывать и статистику за вчера. Она застыла на одном мартовском дне. Сейчас меняется только статистика текущего дня, в связи с чем большинство белорусских веб-аналитиков начали пользоваться другими счетчиками.
Создатель Акавиты Федор Короленко несколько лет назад переехал в Украину и женился на украинке.
NN.BY снял счетчик Акавита со своего сайта.
Мы ждем от Федора Короленко объяснений, почему и как это происходит.
P.S. Примерно через час после этой публикации вредоносный код был вычищен со счетчика.
