Atak na użytkowników sieci Gadu-Gadu: drive-by-download

[wyyzy]

Firma Dagma udokumentowała atak programów typu spyware dokonywany poprzez przesyłanie spreparowanych linków podczas rozmów w sieci użytkowników Gadu-Gadu.

Atak rozpoczął się po kliknięciu na niebezpieczny link rozsyłany do użytkowników sieci Gadu-Gadu dnia 18 lipca 2006 roku. Rozmowa wyglądała w ten sposób:

witam! mysle ze teraz jest odpowiednia chwila zebysmy sie poznali...
[...]
moje fotki sa tutaj w*w.e-fotki.ryj.pl/?katalog=%d

Po kliknięciu na ów link, komputer zostaje zainfekowany ogromną liczbą programów typu spyware. Standardowy firewall wbudowany w system Windows jest w tym wypadku bezradny. Zużycie procesa sięga blisko 100%.

Na zainfekowanej maszynie zmianie ulega tapeta znajdująca się na pulpicie (wpisy w rejestrze systemu zostają w taki sposób zmienione, aby nie można było odwrócić tego procesu). Oprócz tego złośliwe oprogramowanie podszywa się pod system antyszpiegowski i oferuje darmowe skanowanie - tak naprawdę to kolejne pliki na maszynie są właśnie infekowane.

Prezentacja flash całego ataku znajduje się tutaj:
http://antyspyware.pl/drive-by-download.html

?ródło: hacking.pl

====================
edit by night_cr0wler
Gwiazdka na wszelki wypadek

[sapero]

Na takie linki bardzo pomocne jest zmienienie praw dla folderu temporary internet files
- tylko read+write+change, ale głównie zabronienie prawa execute (uruchamianie)

Folder windows/temp też warto tak potraktować, ale wiele instalatorów będzie się na tym wywalało z komunikatem "cannot execute ...".
Jest to uciążliwe ale każda infekcja zaczyna się w tych folderach. Brak prawa do uruchamiania zabezpieczy nas przed infekcją. Znając zachcianki systemu windows xp napewno jakiś syf kiedyś się uruchomi pomimo braku praw

W xp home prawa można zmienić za pomocą totalcmd, albo w trybie awaryjnym

[+ADI+]

a jakby ktoś kliknął????? weź zepsuj tego linka... a ja tym czasem przesyłam na skypea do nauczycielki

[thomas.night]

A więc mamy coś dla nielubianych kolegów...

[ByED]

Na razie nie próbowałem ale ten link jest aktualny (zasyfia) bo chciałem "sie" potestować.

[wlodas]

przyszło cos takiego !
" moje zdjęcie jest tu.......!
moja odpowiedz - a moje w szufladzie i nie kliknąłem.
Myslę ze nie załapałem

[lowak]

hm... a umnie stronka już nie działa ;(

[wyyzy]

"Myslę ze nie załapałem"

jak nie kliknąłeś to nie

"hm... a umnie stronka już nie działa"

pewnie będzie jeszcze kilka takich :]

[lowak]

"hm... a umnie stronka już nie działa"

pewnie będzie jeszcze kilka takich :]

Zawsze przegapie najlepszą zabawe... ;(

A tak już troche serio, to ciekawy sposób. Pewnie nawet jakbym na coś takiego wszedł, to fw z nod2m by sobie poradziły, ale i tak mi się podoba ten sposób

[thomas.night]

Więc trzeba nam szukać dalej albo sami coś sklećmy

[DaRiOOsH]

Czy zauważyluście, że prezentacja przebiega pod IE. A co by było pod Operą, foxem itd ??

[lowak]

Możliwe, że nic

[wyyzy]

"A co by było pod Operą, foxem itd ??"
... najlepiej sam sprawdź

[ByED]

Szkoda że nie działa, ale mój kumpel kliknoł i sył został bo kupił nowego kompa. (no nie jestem pewny czy to samo ale też przez gg), to sie troche pobawie. Tyle tylko że u niego to i tak nie miało znaczenia. Postaram sie stworzyć jakieś "menażerium" jak by kogos interesowało.