7:34
9/11/2009

Infekcja “fałszywym” antyvirusem (video)

Wczoraj zdarzył mi się ciekawy “wypadek” przy pracy. Prawie zainfekowałem się “fałszywym” antywirusem…

Jak doszło do “ataku”?

Przeglądałem sobie stronę internetową, która nie miała treści, a same komentarze:

Tajemnicza strona, która wraz z Operą i myszką mogła wpakować mnie w kłopoty

Tajemnicza strona, która wraz z Operą i myszką mogła wpakować mnie w kłopoty

Chciałem wyświetlić komentarze, więc skierowałem kursor na link “Zobacz komentarze“.

Niestety, moja myszka czasami wariuje, co objawia się skakaniem kursora i losowym zaznacaniem tekstu… w tym przypadku, myszka zaznaczyła mi słowo “zobacz”, a następnie wygnerowała zdarzenie kliknięcia prawym przyciskiem (czyli rozwinęła menu kontekstowe w Operze). Zrobiła to tak szybko, że moje kliknięcie nie trafiło w link, a w pierwszą pozycję z menu kontekstowego: Open.

I tak, Opera wraz z moją myszą wpakowały mnie w atak drive-by download… Poniżej zapis wideo odtwarzający wydarzenie na przykładzie strony TVP.pl:

Zalecam oglądanie na pełnym ekranie…

P.S. Open, po zaznaczeniu tekstu w Operze, próbuje otworzyć go jako poprawny adres strony WWW. Niestety samo słowo zobacz nie jest poprawnym URL-em. Co w takim przypadku robi Opera? Dopełnia słowo domeną narodową, czyli .pl. Tak właśnie trafiłem na stronę h++p://zobacz,pl (link celowo uszkodzony), która szybciutko przerzuca na h++p://howtocleanpc2,com serwis imitujący antywirusa i wciskający fałszywą szczepionkę. Dobrze, że atak skierowany był przeciwko Windowsom, a nie OS X ;-)

Przeczytaj także:

19 komentarzy

Dodaj komentarz
  1. > Dobrze, że atak skierowany był przeciwko Windowsom, a nie OS X ;-)

    A co, nabrał byś się? ;-)

    A tak poważnie – dopóki takie scamy nie będą po polsku, to u nas się chyba nikt nie nabierze w inny sposób niż przypadkowe i z rozpędu klikanie ok.

  2. W Operze 9.64 w pierwszej pozycji mam ‘Copy’ ;-)

  3. I to zadziała zawsze jak zaznacze na dowolnej stronie tekst w odnośniku”zobacz” i dam otwórz tak ?

  4. Mi najbardziej spodobala sie reklama zaglosowania na niebezpiecznik na confidence =D

  5. Całkiem fajna animacja skanowania systemu:D

  6. Dziwne. U mnie opcja „przejdź pod adres” jest na dziewiątym miejscu (przedostatnia). Ke?
    Ja mam uzupełnianie sufiksów wyłączone, bo zwykle i tak jest nietrafne. A, jak będzie zaznaczone więcej niż jedno słowo, to domyślnie zamiast uzupełniania chyba będzie wysłane zapytanie do Google.

  7. 1. podobnie jak Jurgi – przejdź pod adres mam jako przedostatnie
    2. mi dokleja jeszcze subdomenę www, a stamtąd mnie nigdzie nie przekierowuje
    3. brawa za inwencję związaną z głosowaniem :P

  8. ff na szczęście nie ma takich głupot ;]

  9. FF ma takie głupoty jako rozszerzenia. :P

  10. @Jurgi -a co? Ja bez user agent switcher bym nie wytrzymal :).

    A ta strona u mnie nie dziala a musze Mac OSa przeskanowac :(.

    :)

  11. @piko -w czym robisz screencasta?

  12. Fajna sprawa wczoraj czytałem ten atrykół a dziś mama przyszła do mnie z podobnym problemem (fake antyvirusem był Security Tool)

  13. pod windowsem takie ‘problemy’ wciskania malware na sile w postaci wyskakujacych okien zalatwia sie zamknieciem procesu opery firefoxa czy innego. Te inteligentniejsze malware potrafia zablokowac dostep do task managera wiec warto miec pod reka jakis inny killer procesow :P Po ponownym otwarciu przegladarki (firefox) mozna przywrocic sesje ale nalezy stosunkowo szybko zamknac ostatnie tabsy ktore wg nas odpowiadaja za ten bajzel..mowie o ostatnich tabsach..bo niektorzy maja otwarte nawet po kilkadziescia naraz ;)

  14. […] Szczegóły podobnych ataków opisaliśmy parę tygodni temu w poście “Infekcja fałszywym antywirusem“. […]

  15. […] łamach Niebezpiecznika opisywaliśmy już podobne przypadki, np. proces infekcji fałszywym antywirusem podczas przeglądania strony WWW. Publikowaliśmy także listę fałszywych antywirusów i innych […]

  16. A co z właścicielem domeny zobacz.pl? Rejestrator powinien otrzymać powiadomienie o naruszeniu warunków świadczenia usługi i zablokować gnojka.

  17. […] symulację ataku i infekcji za pomocą fałszywego […]

  18. […] sobie, że coś jest nie tak, bo kiedyś już to widziałem. Wtedy też trafiłem na ten scareware przez stronę związaną z kinematografią (tvp.pl). […]

  19. […] internauty nie jest podatny na atak, Blackhole wygeneruje stronę zachęcającą do zainstalowania FakeAV. O Run Forest Run napisał także SANS, prezentując przy okazji wykres przedstawiający skanowanie […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: