9/11/2009
Wczoraj zdarzył mi się ciekawy “wypadek” przy pracy. Prawie zainfekowałem się “fałszywym” antywirusem…
Jak doszło do “ataku”?
Przeglądałem sobie stronę internetową, która nie miała treści, a same komentarze:
Chciałem wyświetlić komentarze, więc skierowałem kursor na link “Zobacz komentarze“.
Niestety, moja myszka czasami wariuje, co objawia się skakaniem kursora i losowym zaznacaniem tekstu… w tym przypadku, myszka zaznaczyła mi słowo “zobacz”, a następnie wygnerowała zdarzenie kliknięcia prawym przyciskiem (czyli rozwinęła menu kontekstowe w Operze). Zrobiła to tak szybko, że moje kliknięcie nie trafiło w link, a w pierwszą pozycję z menu kontekstowego: Open.
I tak, Opera wraz z moją myszą wpakowały mnie w atak drive-by download… Poniżej zapis wideo odtwarzający wydarzenie na przykładzie strony TVP.pl:
Zalecam oglądanie na pełnym ekranie…
P.S. Open, po zaznaczeniu tekstu w Operze, próbuje otworzyć go jako poprawny adres strony WWW. Niestety samo słowo zobacz nie jest poprawnym URL-em. Co w takim przypadku robi Opera? Dopełnia słowo domeną narodową, czyli .pl. Tak właśnie trafiłem na stronę h++p://zobacz,pl (link celowo uszkodzony), która szybciutko przerzuca na h++p://howtocleanpc2,com serwis imitujący antywirusa i wciskający fałszywą szczepionkę. Dobrze, że atak skierowany był przeciwko Windowsom, a nie OS X ;-)
> Dobrze, że atak skierowany był przeciwko Windowsom, a nie OS X ;-)
A co, nabrał byś się? ;-)
A tak poważnie – dopóki takie scamy nie będą po polsku, to u nas się chyba nikt nie nabierze w inny sposób niż przypadkowe i z rozpędu klikanie ok.
W Operze 9.64 w pierwszej pozycji mam ‘Copy’ ;-)
I to zadziała zawsze jak zaznacze na dowolnej stronie tekst w odnośniku”zobacz” i dam otwórz tak ?
Mi najbardziej spodobala sie reklama zaglosowania na niebezpiecznik na confidence =D
Całkiem fajna animacja skanowania systemu:D
Dziwne. U mnie opcja „przejdź pod adres” jest na dziewiątym miejscu (przedostatnia). Ke?
Ja mam uzupełnianie sufiksów wyłączone, bo zwykle i tak jest nietrafne. A, jak będzie zaznaczone więcej niż jedno słowo, to domyślnie zamiast uzupełniania chyba będzie wysłane zapytanie do Google.
1. podobnie jak Jurgi – przejdź pod adres mam jako przedostatnie
2. mi dokleja jeszcze subdomenę www, a stamtąd mnie nigdzie nie przekierowuje
3. brawa za inwencję związaną z głosowaniem :P
ff na szczęście nie ma takich głupot ;]
FF ma takie głupoty jako rozszerzenia. :P
@Jurgi -a co? Ja bez user agent switcher bym nie wytrzymal :).
A ta strona u mnie nie dziala a musze Mac OSa przeskanowac :(.
:)
@piko -w czym robisz screencasta?
Fajna sprawa wczoraj czytałem ten atrykół a dziś mama przyszła do mnie z podobnym problemem (fake antyvirusem był Security Tool)
pod windowsem takie ‘problemy’ wciskania malware na sile w postaci wyskakujacych okien zalatwia sie zamknieciem procesu opery firefoxa czy innego. Te inteligentniejsze malware potrafia zablokowac dostep do task managera wiec warto miec pod reka jakis inny killer procesow :P Po ponownym otwarciu przegladarki (firefox) mozna przywrocic sesje ale nalezy stosunkowo szybko zamknac ostatnie tabsy ktore wg nas odpowiadaja za ten bajzel..mowie o ostatnich tabsach..bo niektorzy maja otwarte nawet po kilkadziescia naraz ;)
[…] Szczegóły podobnych ataków opisaliśmy parę tygodni temu w poście “Infekcja fałszywym antywirusem“. […]
[…] łamach Niebezpiecznika opisywaliśmy już podobne przypadki, np. proces infekcji fałszywym antywirusem podczas przeglądania strony WWW. Publikowaliśmy także listę fałszywych antywirusów i innych […]
A co z właścicielem domeny zobacz.pl? Rejestrator powinien otrzymać powiadomienie o naruszeniu warunków świadczenia usługi i zablokować gnojka.
[…] symulację ataku i infekcji za pomocą fałszywego […]
[…] sobie, że coś jest nie tak, bo kiedyś już to widziałem. Wtedy też trafiłem na ten scareware przez stronę związaną z kinematografią (tvp.pl). […]
[…] internauty nie jest podatny na atak, Blackhole wygeneruje stronę zachęcającą do zainstalowania FakeAV. O Run Forest Run napisał także SANS, prezentując przy okazji wykres przedstawiający skanowanie […]