7:34
9/11/2009

Infekcja “fałszywym” antyvirusem (video)

Autor: Piotr Konieczny | Tagi:  

Wczoraj zdarzył mi się ciekawy “wypadek” przy pracy. Prawie zainfekowałem się “fałszywym” antywirusem…

Jak doszło do “ataku”?

Przeglądałem sobie stronę internetową, która nie miała treści, a same komentarze:

Tajemnicza strona, która wraz z Operą i myszką mogła wpakować mnie w kłopoty

Tajemnicza strona, która wraz z Operą i myszką mogła wpakować mnie w kłopoty

Chciałem wyświetlić komentarze, więc skierowałem kursor na link “Zobacz komentarze“.

Niestety, moja myszka czasami wariuje, co objawia się skakaniem kursora i losowym zaznacaniem tekstu… w tym przypadku, myszka zaznaczyła mi słowo “zobacz”, a następnie wygnerowała zdarzenie kliknięcia prawym przyciskiem (czyli rozwinęła menu kontekstowe w Operze). Zrobiła to tak szybko, że moje kliknięcie nie trafiło w link, a w pierwszą pozycję z menu kontekstowego: Open.

I tak, Opera wraz z moją myszą wpakowały mnie w atak drive-by download… Poniżej zapis wideo odtwarzający wydarzenie na przykładzie strony TVP.pl:

Zalecam oglądanie na pełnym ekranie…

P.S. Open, po zaznaczeniu tekstu w Operze, próbuje otworzyć go jako poprawny adres strony WWW. Niestety samo słowo zobacz nie jest poprawnym URL-em. Co w takim przypadku robi Opera? Dopełnia słowo domeną narodową, czyli .pl. Tak właśnie trafiłem na stronę h++p://zobacz,pl (link celowo uszkodzony), która szybciutko przerzuca na h++p://howtocleanpc2,com serwis imitujący antywirusa i wciskający fałszywą szczepionkę. Dobrze, że atak skierowany był przeciwko Windowsom, a nie OS X ;-)

Przeczytaj także:

 
Niebezpiecznik

19 komentarzy

Dodaj komentarz
  1. BTM 2009.11.09 08:38 | # | Reply

    > Dobrze, że atak skierowany był przeciwko Windowsom, a nie OS X ;-)

    A co, nabrał byś się? ;-)

    A tak poważnie – dopóki takie scamy nie będą po polsku, to u nas się chyba nikt nie nabierze w inny sposób niż przypadkowe i z rozpędu klikanie ok.

  2. temp 2009.11.09 09:15 | # | Reply

    W Operze 9.64 w pierwszej pozycji mam ‘Copy’ ;-)

  3. Marek 2009.11.09 09:51 | # | Reply

    I to zadziała zawsze jak zaznacze na dowolnej stronie tekst w odnośniku”zobacz” i dam otwórz tak ?

  4. Michal Lp 2009.11.09 10:25 | # | Reply

    Mi najbardziej spodobala sie reklama zaglosowania na niebezpiecznik na confidence =D

  5. M3rcury 2009.11.09 10:59 | # | Reply

    Całkiem fajna animacja skanowania systemu:D

  6. Jurgi 2009.11.09 11:37 | # | Reply

    Dziwne. U mnie opcja „przejdź pod adres” jest na dziewiątym miejscu (przedostatnia). Ke?
    Ja mam uzupełnianie sufiksów wyłączone, bo zwykle i tak jest nietrafne. A, jak będzie zaznaczone więcej niż jedno słowo, to domyślnie zamiast uzupełniania chyba będzie wysłane zapytanie do Google.

  7. Refresh 2009.11.09 11:50 | # | Reply

    1. podobnie jak Jurgi – przejdź pod adres mam jako przedostatnie
    2. mi dokleja jeszcze subdomenę www, a stamtąd mnie nigdzie nie przekierowuje
    3. brawa za inwencję związaną z głosowaniem :P

  8. XANi 2009.11.09 12:22 | # | Reply

    ff na szczęście nie ma takich głupot ;]

  9. Jurgi 2009.11.09 21:15 | # | Reply

    FF ma takie głupoty jako rozszerzenia. :P

  10. Piotr 2009.11.09 21:51 | # | Reply

    @Jurgi -a co? Ja bez user agent switcher bym nie wytrzymal :).

    A ta strona u mnie nie dziala a musze Mac OSa przeskanowac :(.

    :)

  11. Piotr 2009.11.09 21:52 | # | Reply

    @piko -w czym robisz screencasta?

  12. M3rcury 2009.11.10 14:00 | # | Reply

    Fajna sprawa wczoraj czytałem ten atrykół a dziś mama przyszła do mnie z podobnym problemem (fake antyvirusem był Security Tool)

  13. tresor8 2009.11.14 05:44 | # | Reply

    pod windowsem takie ‘problemy’ wciskania malware na sile w postaci wyskakujacych okien zalatwia sie zamknieciem procesu opery firefoxa czy innego. Te inteligentniejsze malware potrafia zablokowac dostep do task managera wiec warto miec pod reka jakis inny killer procesow :P Po ponownym otwarciu przegladarki (firefox) mozna przywrocic sesje ale nalezy stosunkowo szybko zamknac ostatnie tabsy ktore wg nas odpowiadaja za ten bajzel..mowie o ostatnich tabsach..bo niektorzy maja otwarte nawet po kilkadziescia naraz ;)

  14. » Lista fałszywych antywirusów -- Niebezpiecznik.pl -- 2009.12.01 19:46 | # | Reply

    […] Szczegóły podobnych ataków opisaliśmy parę tygodni temu w poście “Infekcja fałszywym antywirusem“. […]

  15. » Masz Firefoksa? Uważaj na fałszywe aktualizacje! -- Niebezpiecznik.pl -- 2009.12.06 23:12 | # | Reply

    […] łamach Niebezpiecznika opisywaliśmy już podobne przypadki, np. proces infekcji fałszywym antywirusem podczas przeglądania strony WWW. Publikowaliśmy także listę fałszywych antywirusów i innych […]

  16. Adam 2010.02.02 16:53 | # | Reply

    A co z właścicielem domeny zobacz.pl? Rejestrator powinien otrzymać powiadomienie o naruszeniu warunków świadczenia usługi i zablokować gnojka.

  17. » Fałszywe antywirusy atakuja na forach dyskusyjnych -- Niebezpiecznik.pl -- 2010.02.11 13:15 | # | Reply

    […] symulację ataku i infekcji za pomocą fałszywego […]

  18. » Jak chakiery zarobiły $$$ na Oskarach -- Niebezpiecznik.pl -- 2010.03.17 11:31 | # | Reply

    […] sobie, że coś jest nie tak, bo kiedyś już to widziałem. Wtedy też trafiłem na ten scareware przez stronę związaną z kinematografią (tvp.pl). […]

  19. » Exploit na PLESK: tysiące stron zhackowanych -- Niebezpiecznik.pl -- 2012.07.11 10:30 | # | Reply

    […] internauty nie jest podatny na atak, Blackhole wygeneruje stronę zachęcającą do zainstalowania FakeAV. O Run Forest Run napisał także SANS, prezentując przy okazji wykres przedstawiający skanowanie […]

Odpowiadasz na komentarz » Fałszywe antywirusy atakuja na forach dyskusyjnych -- Niebezpiecznik.pl --

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: