RSS-каналы
Уровень опасности: 1
Главная→Блог→Инциденты→26 янв 2011→Вредоносная реклама рассылается через ICQ
Вредоносная реклама рассылается через ICQ
Эксперт «Лаборатории Касперского»
опубликовано 26 янв 2011, 18:22 MSK
Сюжеты: Поддельные security-программы
В последние несколько дней мы получили многочисленные сообщения о заражении компьютеров пользователей фальшивым антивирусом Antivirus 8.
Диалоговое окно установки фальшивого антивируса
Интересно, что всплывающие окна фальшивого антивируса появлялись, когда компьютер не использовался активно. Мы обнаружили, что это происходило в тот момент, когда программа ICQ получала и отображала новые рекламные сообщения.
Установив ICQ, я дал программе поработать пару минут, чтобы получить рекламу, и обнаружил следующее:
Эта страница размещена на сервере […]charlotterusse.eu.
Поскольку страница содержит iframe, можно предположить, что рекламный сервер магазина (Charlotte Russe – сеть магазинов одежды) был взломан, не так ли? А вот и нет: я выяснил, что кроме charlotterusse.com, ни один из серверов, адреса которых содержатся на этой странице, не имеет отношения к данному бренду одежды.
Это значит, что кто-то не поленился создать видимость действующего магазина, чтобы система распространения рекламы не заблокировала размещение рекламы, поскольку подобные системы отсеивают очевидно мошеннические заявки.
Однако самое интересное в данном случае то, что злоумышленники, чтобы отвести от себя подозрения в распространении вредоносного ПО, создали видимость того, что их сервер был взломан: «Мы тут ни при чем, просто кто-то взломал наш сервер». Скорее всего, распространитель рекламы на этот раз ограничится предупреждением, так что у мошенников будет по крайней мере еще один шанс заразить компьютеры пользователей.
Перед нами очередной пример того, что атаки могут проводиться с использованием доверенных программ. Вывод — защита от вредоносных программ необходима всегда.
Мы сообщили распространителю рекламы (yieldmanager) о происходящем. На момент написания этого текста ответ нами получен не был.
|
26 янв 2011, 21:19
интересно! Интересно, зачем с этой целью использовать ICQ. Мессенджер вроде безобидный. Хотя я один раз наткнулся на сайт вроде этого. Он тоже посвященный вопросам компьютерной безопасности. На нем было описание множественных уязвимостей мессенджера. |
|
26 янв 2011, 23:08
Уязвимости всегда были и остануться. Ну это не значит что пользоваться ICQ надо прекращать. Надо лишь быть внимательным ко всему что получаешь. |
|
30 янв 2011, 20:08
ICQ и все-все-все Ну вообще официальные закрытые IM-клиенты имхо - зло. |
|
1 |
Re: ICQ и все-все-все
Ох, ну не позорься же ты и тут еще ...
"От себя скажу, что никакой инфы об ООО 'Информационное Бюро Business Wave' я в нете не нашёл."
А задать поиск по "Бизнес Волна" соображалки не хватило...
Вот видишь, как даже умение пользоваться whois, не помогает, если с логикой проблемы :)
|
-2 |
Re: Re: ICQ и все-все-все
Спасибы, дядьку - ну а дальше идею продолжить, кроме как прова найти - логики хватит? Ждём!
|
1 |
Re: Re: Re: ICQ и все-все-все
Твоя идея, ты и развивай - или думаешь что я и дальше за тебя все делать буду ?
Или ты за две недели (http://forum.ru-board.com/topic.cgi?forum=5 topic=35149 start=340) - так дальше whois и не ушел ? Где сниф пакетов, где анализ кода и демонстрация бэкдора ? :)
Ну или хотя бы поинтересовался у "жертвы" - не Манго Телеком у него провайдер случайно ли ? :)
исправлено: Александр Гостев, 31 янв 2011, 15:12
|
0 |
Re: Re: ICQ и все-все-все
Суть не в названии, а в его наличии, как ресурса поддерживающего работу бекдора =)
Также в аналитике
В блоге
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей