7:34
9/11/2009

Wczoraj zdarzył mi się ciekawy “wypadek” przy pracy. Prawie zainfekowałem się “fałszywym” antywirusem…

Jak doszło do “ataku”?

Przeglądałem sobie stronę internetową, która nie miała treści, a same komentarze:

Tajemnicza strona, która wraz z Operą i myszką mogła wpakować mnie w kłopoty

Tajemnicza strona, która wraz z Operą i myszką mogła wpakować mnie w kłopoty

Chciałem wyświetlić komentarze, więc skierowałem kursor na link “Zobacz komentarze“.

Niestety, moja myszka czasami wariuje, co objawia się skakaniem kursora i losowym zaznacaniem tekstu… w tym przypadku, myszka zaznaczyła mi słowo “zobacz”, a następnie wygnerowała zdarzenie kliknięcia prawym przyciskiem (czyli rozwinęła menu kontekstowe w Operze). Zrobiła to tak szybko, że moje kliknięcie nie trafiło w link, a w pierwszą pozycję z menu kontekstowego: Open.

I tak, Opera wraz z moją myszą wpakowały mnie w atak drive-by download… Poniżej zapis wideo odtwarzający wydarzenie na przykładzie strony TVP.pl:

Zalecam oglądanie na pełnym ekranie…

P.S. Open, po zaznaczeniu tekstu w Operze, próbuje otworzyć go jako poprawny adres strony WWW. Niestety samo słowo zobacz nie jest poprawnym URL-em. Co w takim przypadku robi Opera? Dopełnia słowo domeną narodową, czyli .pl. Tak właśnie trafiłem na stronę h++p://zobacz,pl (link celowo uszkodzony), która szybciutko przerzuca na h++p://howtocleanpc2,com serwis imitujący antywirusa i wciskający fałszywą szczepionkę. Dobrze, że atak skierowany był przeciwko Windowsom, a nie OS X ;-)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

19 komentarzy

Dodaj komentarz
  1. > Dobrze, że atak skierowany był przeciwko Windowsom, a nie OS X ;-)

    A co, nabrał byś się? ;-)

    A tak poważnie – dopóki takie scamy nie będą po polsku, to u nas się chyba nikt nie nabierze w inny sposób niż przypadkowe i z rozpędu klikanie ok.

  2. W Operze 9.64 w pierwszej pozycji mam ‘Copy’ ;-)

  3. I to zadziała zawsze jak zaznacze na dowolnej stronie tekst w odnośniku”zobacz” i dam otwórz tak ?

  4. Mi najbardziej spodobala sie reklama zaglosowania na niebezpiecznik na confidence =D

  5. Całkiem fajna animacja skanowania systemu:D

  6. Dziwne. U mnie opcja „przejdź pod adres” jest na dziewiątym miejscu (przedostatnia). Ke?
    Ja mam uzupełnianie sufiksów wyłączone, bo zwykle i tak jest nietrafne. A, jak będzie zaznaczone więcej niż jedno słowo, to domyślnie zamiast uzupełniania chyba będzie wysłane zapytanie do Google.

  7. 1. podobnie jak Jurgi – przejdź pod adres mam jako przedostatnie
    2. mi dokleja jeszcze subdomenę www, a stamtąd mnie nigdzie nie przekierowuje
    3. brawa za inwencję związaną z głosowaniem :P

  8. ff na szczęście nie ma takich głupot ;]

  9. FF ma takie głupoty jako rozszerzenia. :P

  10. @Jurgi -a co? Ja bez user agent switcher bym nie wytrzymal :).

    A ta strona u mnie nie dziala a musze Mac OSa przeskanowac :(.

    :)

  11. @piko -w czym robisz screencasta?

  12. Fajna sprawa wczoraj czytałem ten atrykół a dziś mama przyszła do mnie z podobnym problemem (fake antyvirusem był Security Tool)

  13. pod windowsem takie ‘problemy’ wciskania malware na sile w postaci wyskakujacych okien zalatwia sie zamknieciem procesu opery firefoxa czy innego. Te inteligentniejsze malware potrafia zablokowac dostep do task managera wiec warto miec pod reka jakis inny killer procesow :P Po ponownym otwarciu przegladarki (firefox) mozna przywrocic sesje ale nalezy stosunkowo szybko zamknac ostatnie tabsy ktore wg nas odpowiadaja za ten bajzel..mowie o ostatnich tabsach..bo niektorzy maja otwarte nawet po kilkadziescia naraz ;)

  14. […] Szczegóły podobnych ataków opisaliśmy parę tygodni temu w poście “Infekcja fałszywym antywirusem“. […]

  15. […] łamach Niebezpiecznika opisywaliśmy już podobne przypadki, np. proces infekcji fałszywym antywirusem podczas przeglądania strony WWW. Publikowaliśmy także listę fałszywych antywirusów i innych […]

  16. A co z właścicielem domeny zobacz.pl? Rejestrator powinien otrzymać powiadomienie o naruszeniu warunków świadczenia usługi i zablokować gnojka.

  17. […] symulację ataku i infekcji za pomocą fałszywego […]

  18. […] sobie, że coś jest nie tak, bo kiedyś już to widziałem. Wtedy też trafiłem na ten scareware przez stronę związaną z kinematografią (tvp.pl). […]

  19. […] internauty nie jest podatny na atak, Blackhole wygeneruje stronę zachęcającą do zainstalowania FakeAV. O Run Forest Run napisał także SANS, prezentując przy okazji wykres przedstawiający skanowanie […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: