Dochodzenie przeprowadzone przez specjalistów z Avasta wykazało, że przestępcy zdołali w jakiś sposób sforsować zabezpieczenia sieci reklamowych DoubleClick (należącej do Google), Yield Manager (Yahoo!) oraz Firmserve.com (Fox) - w sumie serwują one ponad połowę reklam wyświetlanych na amerykańskich stronach WWW. Następnie umieścili w niektórych reklamach złośliwy skrypt o nazwie JS:Prontexi, którego zadaniem było infekowanie komputerów internautów (celem były wyłącznie komputery z Windows). Z analiz wynika, ze ów skrypt do atakowania komputera wykorzystywał błędy w aplikacjach Adobe Reader i Flash, QuickTime oraz Javie .
Warto odnotować, że zdecydowaną większość zainfekowanych reklam wyświetliły sieci należące do Yahoo i Fox - udział Google w całym incydencie był niewielki.
Automatyczne ataki
Z ustaleń Avasta wynika, że złośliwe reklamy trafiły pod koniec ubiegłego roku m.in. na witryny The New York Times, DrudgeReport.com oraz TechCrunch.com . Wiadomo, że atak był przeprowadzany bez żadnego udziału użytkownika - nie musiał on na nic klikać, wystarczyło, że reklama została wyświetlona w podatnej na atak przeglądarce. Dodajmy, że w większości takich ataków wykorzystywane są zwykle stare, dawno już załatane błędy - przestępcy korzystają z tego, że wielu użytkowników nie aktualizuje regularnie oprogramowania.
Jak się zabezpieczyć?
Co w takim razie mogą zrobić użytkownicy, którzy obawiają się, że ich komputer mógł zostać zainfekowany? Najrozsądniejszym wyjściem jest sprawdzenie systemu za pomocą zaktualizowanej aplikacji antywirusowej (spory wybór darmowych programów AV można znaleźć w serwisie Ściągnij.pl ). Alternatywą - polecaną np. użytkownikom którzy z jakiegoś powodu nie mogą instalować w systemie oprogramowania (np. dlatego, że nie pracują na koncie administratora) - jest skorzystanie z jednego z dostępnych nieodpłatnie skanerów online - np. firm BitDefender , Symantec czy MKS .
Złośliwe programy na "bezpiecznych" stronach
Całe to zamieszanie jest świetną ilustracją pewnego niepokojącego trendu - okazuje się, że ostatnio mocno zdezaktualizowało się twierdzenie, w myśl którego złośliwe oprogramowanie można "złapać" jedynie podczas odwiedzenia najróżniejszych podejrzanych witryn (serwisów pornograficznych, warezowych itp.). Eksperci ds. bezpieczeństwa alarmują od miesięcy, że obecnie ok. 50% stron zawierających złośliwe oprogramowanie stanowią witryny pozornie bezpieczne - czyli najróżniejsze serwisy informacyjne, strony firm, instytucji itp. Przestępcy wykorzystują do tego proste błędy programistyczne popełniane przez twórców i administratorów owych witryn - chodzi tu np. o luki typu XSS (cross-site scripting) - umożliwiają one nieautoryzowane umieszczenie na "dziurawej" stronie złośliwego pliku.
Warto dodać, że właśnie ten błąd znalazł się ostatnio na pierwszym miejscu przygotowanej przez organizacje MITRE Corporation i Sans Institute listy 25 najgroźniejszych błędów programistycznych .
Więcej informacji: Avast .
Daniel Cieślak
