toxi » 26-01-2011 20:19:48
В последние несколько дней мы получили многочисленные сообщения о заражении компьютеров пользователей фальшивым антивирусом Antivirus 8.
Диалоговое окно установки фальшивого антивируса
Интересно, что всплывающие окна фальшивого антивируса появлялись, когда компьютер не использовался активно. Мы обнаружили, что это происходило в тот момент, когда программа ICQ получала и отображала новые рекламные сообщения.
Установив ICQ, я дал программе поработать пару минут, чтобы получить рекламу, и обнаружил следующее:
Эта страница размещена на сервере […]charlotterusse.eu.
Поскольку страница содержит iframe, можно предположить, что рекламный сервер магазина (Charlotte Russe – сеть магазинов одежды) был взломан, не так ли? А вот и нет: я выяснил, что кроме charlotterusse.com, ни один из серверов, адреса которых содержатся на этой странице, не имеет отношения к данному бренду одежды.
Это значит, что кто-то не поленился создать видимость действующего магазина, чтобы система распространения рекламы не заблокировала размещение рекламы, поскольку подобные системы отсеивают очевидно мошеннические заявки.
Однако самое интересное в данном случае то, что злоумышленники, чтобы отвести от себя подозрения в распространении вредоносного ПО, создали видимость того, что их сервер был взломан: «Мы тут ни при чем, просто кто-то взломал наш сервер». Скорее всего, распространитель рекламы на этот раз ограничится предупреждением, так что у мошенников будет по крайней мере еще один шанс заразить компьютеры пользователей.
Перед нами очередной пример того, что атаки могут проводиться с использованием доверенных программ. Вывод — защита от вредоносных программ необходима всегда.
Мы сообщили распространителю рекламы (yieldmanager) о происходящем. На момент написания этого текста ответ нами получен не был.
Источник: http://www.securelist.com/ru/blog/40243 ... cherez_ICQВ последние несколько дней мы получили многочисленные сообщения о заражении компьютеров пользователей фальшивым антивирусом Antivirus 8.
[attachment=1]40244[1].png[/attachment]
Диалоговое окно установки фальшивого антивируса
Интересно, что всплывающие окна фальшивого антивируса появлялись, когда компьютер не использовался активно. Мы обнаружили, что это происходило в тот момент, когда программа ICQ получала и отображала новые рекламные сообщения.
Установив ICQ, я дал программе поработать пару минут, чтобы получить рекламу, и обнаружил следующее:
[attachment=0]40245[1].jpg[/attachment]
Эта страница размещена на сервере […]charlotterusse.eu.
Поскольку страница содержит iframe, можно предположить, что рекламный сервер магазина (Charlotte Russe – сеть магазинов одежды) был взломан, не так ли? А вот и нет: я выяснил, что кроме charlotterusse.com, ни один из серверов, адреса которых содержатся на этой странице, не имеет отношения к данному бренду одежды.
Это значит, что кто-то не поленился создать видимость действующего магазина, чтобы система распространения рекламы не заблокировала размещение рекламы, поскольку подобные системы отсеивают очевидно мошеннические заявки.
Однако самое интересное в данном случае то, что злоумышленники, чтобы отвести от себя подозрения в распространении вредоносного ПО, создали видимость того, что их сервер был взломан: «Мы тут ни при чем, просто кто-то взломал наш сервер». Скорее всего, распространитель рекламы на этот раз ограничится предупреждением, так что у мошенников будет по крайней мере еще один шанс заразить компьютеры пользователей.
Перед нами очередной пример того, что атаки могут проводиться с использованием доверенных программ. Вывод — защита от вредоносных программ необходима всегда.
Мы сообщили распространителю рекламы (yieldmanager) о происходящем. На момент написания этого текста ответ нами получен не был.
[right][i]Источник: [url]http://www.securelist.com/ru/blog/40243/Vredonosnaya_reklama_rassylaetsya_cherez_ICQ[/url][/i][/right]