Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Szkodliwe reklamy rozprzestrzeniane przez ICQ

Roel Schouwenberg
Kaspersky Lab Expert
Dodany 26 stycznia 2011, 10:50 CET

W ostatnich dniach otrzymaliśmy wiele doniesień o komputerach zainfekowanych fałszywymi programami antywirusowymi (scareware). Winowajca nazywa się Antivirus 8.

Interesujące jest to, że na ekranach użytkowników pojawiały się okna wyskakujące fałszywego programu antywirusowego, chociaż nie korzystali aktywnie z komputera. Podczas analizy zauważyliśmy, że okna te pojawiają się wtedy, gdy ICQ wyświetla nowe reklamy.

Zainstalowałem ICQ i pozwoliłem mu działać kilka minut, aby “złapał” reklamy. Oto co zauważyłem:

Strona ta jest utrzymywana na [snip]charlotterusse.eu.

Sądząc po dodanej ramce iframe, możnaby pomyśleć, że ktoś włamał się do serwera przechowującego reklamy tego sklepu. Nie zupełnie. Pogrzebałem trochę i odkryłem, że żaden z tych serwerów – oprócz charlotterusse.com – nie jest w jakikolwiek sposób związany z tą marką odzieży.

W całej sprawie najbardziej interesujący jest fakt, że cyberprzestępcy chcą przekonać innych, że ich serwer padł ofiarą ataku hakerskiego. Dzięki temu mogą utrzymywać, że to nie oni są odpowiedzialni za dystrybucję szkodliwego oprogramowania. To ktoś inny włamał się do ich serwera i rozprzestrzenia szkodniki. Dystrybutor reklam prawdopodobnie da im tylko ostrzeżenie, przez co cyberprzestępcy będą mieli jeszcze przynajmniej jedną szansę zainfekowania maszyn.

Incydent ten stanowi kolejny przykład tego, że zaufane programy mogą być wykorzystywane do atakowania komputerów. Pokazuje, że ochrona antywirusowa jest konieczna niezależnie od okoliczności.

Wysłaliśmy powiadomienie do yieldmanager – dystrybutora reklam.

Jak na razie nie dostaliśmy odpowiedzi.