Не щракайте върху тази реклама...дори не я поглеждайте!
Когато влезете в уебсайт, трябва да вярвате на всеки, с когото си партнира сайтът. " Лари Зелцър Напоследък забелязах една обезпокоителна, все по-масова тенденция по отношение на разпространението на зловреден софтуер. Вредните „антишпионски“ програми – тези, които идват при вас маскирани като антишпионски софтуер – вече пристигат при вас чрез реклами, върху които никога не сте и помисляли да щракнете.
За първи път забелязах това в уебсайта на един израелски вестник, излизащ на английски език – www.Ynetnews.com. Съвсем неочаквано за мен, след като разглеждах в продължение на няколко секунди заглавната страница на Ynet, моят браузър бе пренасочен към друг сайт; прозорецът му се сви и заприлича на диалогов прозорец (виждате го по-долу), в който се мъдреше едно типично измамно появяващо се съобщение, че моята система е заразена. Очевидна примамка и само моментно отвличане на вниманието би имало фатални последствия. Но след като браузърът ми беше пренасочен, не ми оставаше нищо друго, освен да използвам Task Manager на Windows, за да затворя браузъра. Ако вие попаднете в същия капан, и за вас това ще е единственият вариант за измъкване от него.
Обзет от желание да изследвам вируси, аз дадох възможност на сайта да „сканира“ (хайде де!) моята система и да свали и инсталира програма. Тази програма после бе разпозната от Kaspersky Antivirus като „not-virus.Hoax.Win32.Renos.kd.“
Доставчиците на измамен антишпионски софтуер са досадни и злонамерени, но вече не са много интересни. Това, което най-много ме заинтригува в този случай, бе пренасочването. Дали то бе извършено наистина от Ynet? Аз лично се съмнявах в това, затова прегледах изходния код на заглавната страница. И тук е проблемът: кодът е груб и сложен и практически просто плаче за неприятности. Той съдържа десет iFrames, като няколко от тях принадлежат на други домейни. (iFrame-ът казва на браузъра да отиде в друг сайт и да чете HTML-кода там.)
Открих нарушение в една от рекламните секции. Една страница в домейна attdarff.com съдържа извикване на един флаш филм, а този филм е ключът към пренасочването на браузъра. В този процес са замесени няколко страници, но основното пренасочване е в домейна blessedads.com, а последният от своя страна препраща потребителите в разнообразни сайтове на вредни приложения за защита. Тези вредители не са новост; рекламните мрежи знаят за съществуването им и опитват да ги използват. Но ние всички знаем, че запушването на дупка в сигурността не е проста работа, особено когато става дума за печалби.
Голям сайт като Ynet би трябвало да е по-внимателен. А сега тази конкретна атака се проявява и на други места, в сайтове като тези на вестниците „Уол Стрийт Джърнъл“ и „Бостън хералд“. Както и в неновинарски сайтове и в някои известни рекламни мрежи. Има много интересен пример, описан в www.dynamoo.com/diary/malwarescan-newbieadguide-com-hijack.htm (моля, обръщайте внимание на предупрежденията и не щракайте върху уебадресите (URLs))! Точно когато привършвах тази статия, намерих друг, още по-многозначителен сайт: www.MLB.com, сайта на бейзболната лига Major League Baseball!
Отправям сърдечни благодарности на независимия аналитик по въпросите на сигурността Тор Лархом, който откри пренасочването в Ynet, и на Адам Томас от компанията Sunbelt Software, който анализира флаш филма.
ПАЗЕТЕ СЕ! Прочетете последните новини на тема компютърна сигурност в блога Security Blog на PC Magazine, на адрес blogs.pcmag.com/securitywatch.
КАКВО, НЯМА ЛИ ВЕЧЕ БОЯ, СЪДЪРЖАЩА ОЛОВО?
Твърдите дискове на Maxtor, които се продават в Тайван, пристигат фабрично заредени със зловреден софтуер, твърди компанията Seagate, която понастоящем е собственик на серията Maxtor. Вирусът е намерен от компанията Kaspersky. Тя го определя като „Virus.Win32.AutoRun.ah”. Този вирус търси пароли към онлайн игри и ги изпраща на сървър, намиращ се в Китай. Освен това той може да деактивира софтуер за откриване на вируси. Засегнати са следните игри (всичките китайски, с изключение на World of Warcraft): WS-Game; 91.com; QQ; Woool; rxjh.17game.com; TianLongBaBu; AskTao; Perfect World (Wanmei Shijie); World of Warcraft.
Компанията твърди, че скоро е проследила проблема при свой подизпълнител в Китай, и добавя: „Всички дискови устройства, напускащи въпросното производствено предприятие, са изчистени от вируса, а тези в склада се преработват, преди да бъдат освободени за продажба.” Защо Seagate все още използва този подизпълнител? Ако бях аз, отдавна да съм се отървал от него.
Имайте предвид, че това е външен твърд диск и ако имате късмета да го включите във вашата система, вирусът най-вероятно ще се стартира чрез Autorun. Това е основателна причина да деактивирате Autorun, както и да инсталирате и да обновявате редовно антивирусен софтуер.
Какво има във вашата входяща пощенска кутия?
Компанията доставчик на антиспамов софтуер Postini наскоро обяви, че цели 87 процента от електронната поща са спам, но след това допълва, че истинският процент е около 95. На какво се дължи това разминаване на данни? Погледнете горната диаграма. Не ви ли удивлява това, че толкова популярни, проверени от времето категории, като Get Rich Quick (забогатей бързо) и Sexually Explicit (сексуално ориентирани), са толкова слабо представени.
Ада Суидлър от Postini обяснява, че диаграмите на неговата компания (достъпни на адрес www.postini.com/stats) се генерират автоматично от една следяща програма (tracker), която проверява директно прихванатия трафик. Тя скоро ще бъде обновена, за да може да се справя с много нови източници на атаки (мрежи от ботове (botnets), мултимедийни файлове), и ще създава отчети с по-точни категории. Категорията Valid Messages (валидни съобщения) все още представлява значителен процент от общия брой, но според Суидлър всяко валидно съобщение понастоящем плува сред море от 19 единици спам. – Сара Пайк