Интересно, что всплывающие окна фальшивого антивируса появлялись, когда компьютер не использовался активно. Мы обнаружили, что это происходило в тот момент, когда программа ICQ получала и отображала новые рекламные сообщения.
Установив ICQ, я дал программе поработать пару минут, чтобы получить рекламу, и обнаружил следующее:
Поскольку страница содержит iframe, можно предположить, что рекламный сервер магазина (Charlotte Russe – сеть магазинов одежды) был взломан, не так ли? А вот и нет: я выяснил, что кроме charlotterusse.com, ни один из серверов, адреса которых содержатся на этой странице, не имеет отношения к данному бренду одежды.
Это значит, что кто-то не поленился создать видимость действующего магазина, чтобы система распространения рекламы не заблокировала размещение рекламы, поскольку подобные системы отсеивают очевидно мошеннические заявки.
Однако самое интересное в данном случае то, что злоумышленники, чтобы отвести от себя подозрения в распространении вредоносного ПО, создали видимость того, что их сервер был взломан: «Мы тут ни при чем, просто кто-то взломал наш сервер». Скорее всего, распространитель рекламы на этот раз ограничится предупреждением, так что у мошенников будет по крайней мере еще один шанс заразить компьютеры пользователей.
Перед нами очередной пример того, что атаки могут проводиться с использованием доверенных программ. Вывод — защита от вредоносных программ необходима всегда.
Мы сообщили распространителю рекламы (yieldmanager) о происходящем. На момент написания этого текста ответ нами получен не был.
Источник: http://www.securelist.com/ru/blog/40243 ... cherez_ICQ