My OperaZaczęła się III Wojna Światowa. No nie, znowu?
środa, 9 lipca 2008 08:28:09
Z reguły nie mam wielkiego kłopotu ze spamem, z kilku używanych przeze mnie kont na śmieci narażone są tylko dwa: moje najstarsze konto, którego używam do podawania w sieci przy różnych rejestracjach; tu, ze względu na to, że poczta.fm ma kiepskie filtry antyspamowe, jest trochę pracy (od 20 do 50 sztuk tygodniowo, cześć wyłapują moje własne filtry) oraz gmailowe, które jest w regularnym użyciu (to przez jakąś *upę, która ma mój adres na swoim kompie i była na tyle głupia, żeby dać zarazić swój komp) – tu algorytm googla sam odsiewa spam ze 100% skutecznością i tylko co jakiś czas sprawdzam, czy aby skuteczność nie przekroczyła 100% (znaczy: czy nie wywalił mi jakiegoś ważnego maila).Nie jestem na tyle głupi, żeby dać się nabrać na jakieś pseudo-Viagry, tanie Roleksy, czy nagłówki typu „Michael Jackson został mamą”. Ale dziś jeden spamerski mail mnie zainteresował…
Jak działa wirusowy umysł?
Otrzymany przeze mnie e-mail zawierał tekst „The World War III has already begun” („Trzecia Wojna Światowa właśnie się zaczęła”) z linkiem do pozornie uczciwego adresu MoreNewsOnline.com. Ano – pomyślałem – Opera jest trudna do zainfekowania, wyłączę jeszcze Javascript i zobaczymy. Pod wspomnianym adresem powitał mnie śliczny baner strony dla amerykańskich patriotów („Boże, chroń Busha przed gafami!”), krótki tekst, że właśnie armia USA zaatakowała Iran:
Just now US Army's Delta Force and U.S. Air Force have invaded Iran. Approximately 20000 soldiers crossed the border into Iran and broke down the Iran's Army resistance. The video made by US soldier was received today morning. Click on the video to see first minutes of the beginning of the World War III. God save us.
…oraz widok znajomego odtwarzacza YouTube z przerażającym widokiem:
Ha, ilu z was kliknęło na tym obrazku odruchowo? Ja też się prawie nabrałem. Na szczęście uratował mnie odruch klikania prawym przyciskiem myszy na flashowych odtwarzaczach. Zamiast znajomych opcji Macromedia Flash pokazało się menu obrazka… To tylko obrazek, po kliknięciu którego zaczyna się ściągać plik pod nazwą iran_occupation.exe — pewnie spora ilość naiwnych go uruchomi…
Postanowiwszy zbadać sprawę do końca, ściągnąłem plik (ostrożnie! Ale jak ktoś sam go nie uruchomi, to nic nam nie grozi) i postanowiłem przetestować go jakimś dostępnym w sieci skanerem antywirusowym. Mój wybór padł na serwis VirusTotal.com — oferuje on darmowe skanowanie pliku nie przez jeden, a przez kilkadziesiąt (w tej chwili 33) różne programy antywirusowe, w tym te najlepsze. Moje podejrzenia oczywiście się potwierdziły — był to robak-trojan, który po uruchomieniu nie tylko opanowałby mi system, ale pewnie naściągał jeszcze kolegów. A potem bym się dziwił, czemu mi tak powoli Internet chodzi (bo komp rozsyłałby takie właśnie maile, jak ten, który dostałem).
Ale nie jest różowo, Drodzy Czytelnicy! Na 33 programy antywirusowe szkodnika rozpoznało tylko 9! W dodatku z tych 9 dla dwóch był tylko podejrzany, czyli nie miały go w swoich bazach. Na 33 najlepsze programy antywirusowe tylko siedem wiedziało, co to jest. Reszta by go przepuściła, w tym program, który ja mam zainstalowany na kompie, a nawet wysoko przeze mnie ceniony Kaspersky. Czyli u większości ludzi, którzy ten plik klikną, nie zadziała ochrona antywirusowa, nawet, jeśli ją mają i dbają o uaktualnienia. Zgroza. Mnie chroni fakt, że jestem doświadczonym (i podejrzliwym) użytkownikiem, ale początkujący nie ma szans… Trudno się dziwić, że pojedynczy program potrafi opanować setki tysięcy prywatnych komputerów, które są potem używane do dalszych ataków.Jedynym wyjściem jest pilnować się, dokształcić się i pilnować cały czas. Dlatego parę rad dla mniej doświadczonych:
- Zamiast używać Internet Explorera, zainstaluj i polub Operę lub Firefoksa — są w tej chwili najbezpieczniejsze. Obecnie do zainfekowania Windows wystarczy wejście na zarażoną stronę internetową, przy czym nie ma bezpiecznych stron — na każdą stronę można się włamać i umieścić tam zarażający kod, zdarzało się to nawet stronom firm zajmujących się ochroną antywirusową. Opera i Firefox zapewniają największe bezpieczeństwo – ewentualne usterki są prawie natychmiast łatane – ale trzeba jeszcze pamiętać o instalowaniu nowych wersji po ich ukazaniu się. W przypadku Opery na naszą korzyść działa jeszcze fakt, że jest w skali świata mało znana i nikomu nie opłaca się atakować jej użytkowników. Osobiście IE używam tylko do aktualizowania Windows (bo inną przeglądarką się nie da).
- Jak już masz Firefoksa lub Operę, włącz ochronę przed oszustwami — oba te programy posiadają bazę stron, które podszywają się pod strony np. banków – to jedno z zagrożeń. W Operze na pasku z adresem strony, po prawo jest taka ikonka ze znakiem zapytania — po kliknięciu pokazuje się okienko z możliwością sprawdzenia strony i włączenia ochrony na stałe.
- Żaden program antywirusowy nie daje pełnej ochrony, co pokazałem na dzisiejszym przykładzie. Każdy wątpliwy plik sprawdź przed uruchomieniem — polecam właśnie usługę VirusTotal.com – chyba najlepsza w tej chwili.
- Zanim wejdziesz na jakąś nieznaną stronę (zwłaszcza, jeśli musisz użyć IE), sprawdź, czy nie jest zarażona, przypominam, że jest możliwe zainfekowanie komputera bez udziału użytkownika. Wchodzisz — leżysz. Można do tego użyć np. serwisu LinkScanner (uwaga, sprawdza on jedynie obecność eksploitów – czyli kodów, które zarażają bezpośrednio przez przeglądarkę, nie wykrywa ściągalnych wirusów, czy trojanów).
- Pliki i odnośniki które przychodzą w e-mailach, zawsze traktuj jak podejrzane, nawet, jeśli to list od znajomego — przecież jego komp może być zarażony, albo ktoś może się pod niego podszywać. Adres nadawcy można prawie równie łatwo sfałoszować, co na papierowej kopercie.
Bezpieczne poruszanie się po drogach wymaga znajomości przepisów i zachowywania pewnych środków ostrożności, choć nic nie daje całkowitego bezpieczeństwa. Podobnie jest w Internecie, nie da się chodzić na ślepo i nie zaznać szkody.
Tłumaczenie tekstu o III Wojnie Światowej:
Właśnie w tej chwili oddziały Delta Force Armii USA oraz Siły Powietrzne USA zaatakowały Iran. Około 20 tysięcy żołnierzy przekroczyło granicę i złamało opór irańskiej armii. Film nakręcony przez amerykańskiego żołnierza otrzymaliśmy dziś rano. Uruchom film, żeby zobaczyć pierwsze minuty początku III Wojny Światowej. Chroń nas, Panie.
A dla ciekawych załączam pełen raport ze skanowania podejrzanego pliku:
Antywirus Wersja Ostatnia aktualizacja Wynik AhnLab-V3 2008.7.9.1 2008.07.09 - AntiVir 7.8.0.64 2008.07.09 Worm/Zhelatin.zh Authentium 5.1.0.4 2008.07.08 - Avast 4.8.1195.0 2008.07.08 - AVG 7.5.0.516 2008.07.08 I-Worm/Nuwar.U BitDefender 7.2 2008.07.09 Dropped:Trojan.Peed.PM CAT-QuickHeal 9.50 2008.07.08 - ClamAV 0.93.1 2008.07.09 - DrWeb 4.44.0.09170 2008.07.09 - eSafe 7.0.17.0 2008.07.08 Suspicious File eTrust-Vet 31.6.5939 2008.07.09 - Ewido 4.0 2008.07.08 - F-Prot 4.4.4.56 2008.07.08 - F-Secure 7.60.13501.0 2008.07.08 - Fortinet 3.14.0.0 2008.07.09 - GData 2.0.7306.1023 2008.07.09 - Ikarus T3.1.1.26.0 2008.07.09 - Kaspersky 7.0.0.125 2008.07.09 - McAfee 5334 2008.07.08 - Microsoft 1.3704 2008.07.09 Backdoor:Win32/Nuwar.gen!D NOD32v2 3253 2008.07.09 a variant of Win32/Nuwar.DD Norman 5.80.02 2008.07.08 - Panda 9.0.0.4 2008.07.08 Suspicious file Prevx1 V2 2008.07.09 - Rising 20.52.12.00 2008.07.08 - Sophos 4.31.0 2008.07.09 Troj/Tibs-UO Sunbelt 3.1.1509.1 2008.07.04 - Symantec 10 2008.07.09 - TheHacker 6.2.96.374 2008.07.07 - TrendMicro 8.700.0.1004 2008.07.09 - VBA32 3.12.6.8 2008.07.08 - VirusBuster 4.5.11.0 2008.07.08 - Webwasher-Gateway 6.6.2 2008.07.09 Worm.Zhelatin.zh
Artur „Jurgi” JurgawkaJurgi # czwartek, 10 lipca 2008 19:37:44
O cwanym robalu doniósł serwis heise-online. Jest mi miło, że udało mi się wyprzedzić tak renomowany wortal o ponad dobę. Byłem równie szybki co zawodowcy: WebSense i CERT. Jak podają, jest to atak robaka Storm. Ale, jak tam napisano:
Dziwi mnie w takim razie, że programy antywirusowe miały aż takie problemy z rozpoznaniem półtorarocznego paskuda. Nawet jeśli to nowa odmiana, to trochę kiepsko.
Artur „Jurgi” JurgawkaJurgi # wtorek, 15 lipca 2008 14:58:45
Jak informuje heise-online Storm nie ustaje w tworzeniu alternatywnej historii świata.
Po wywołaniu trzeciej wojny światowej, tym razem donosi o odwołaniu igrzysk w Pekinie i przeniesieniu do Atlanty. Ja nie dostałem na razie takiego maila i szczegółów nie znam, ale wg heise tym razem przejęta strona sugeruje pobranie brakującego kodeka wideo. Niewyczerane są pomysły social engineerów. Trzeba przyznać, że dobór jest kapitalny i każdy serwis informacyjny chciałby coś takiego mieć na pierwszą stronę.
Marcin Małymmaly # sobota, 26 lipca 2008 20:45:58
Artur „Jurgi” JurgawkaJurgi # niedziela, 27 lipca 2008 07:29:26
Marcin Małymmaly # niedziela, 27 lipca 2008 10:46:53
Mnie by było szkoda zachodu na używanie klienta pocztowego, ale korzystam z netu na wielu różnych komputerach, więc to dla mnie konieczność.
Pozdrawiam. :-)
Artur „Jurgi” JurgawkaJurgi # niedziela, 27 lipca 2008 11:27:41
P.S. Doczytałem, że jesteś anglistą. No to teraz przy czepianiu się innych będę musiał uważać, bo sam będę pod kontrolą.
Marcin Małymmaly # niedziela, 27 lipca 2008 13:06:07
A przy wolnym łączu tym bardziej wolę Gmaila, bo nie ściągam tego, czego nie potrzebuję, widzę miniatury obrazków, więc jest bezapelacyjnie szybciej. No i bezpieczniej, chociaż jako użytkownik Linuxa o to jakoś się nie martwię.
Bardzo długo starałem się używać Thunderbirda, ale w końcu się poddałem, gdyż przy moim sposobie korzystania z netu klient po prostu jest bezużyteczny, nawet najlepszy.
Ale cóż, o gustach... ;-)
Artur „Jurgi” JurgawkaJurgi # niedziela, 27 lipca 2008 18:42:11
No i jest szczerze mówiąc kwestia przyzwyczajenia. Mój klient jest ze mną od samego początku i towarzyszy mi (ten sam, nawet bez reinstalacji czy zmiany wersji) przez wszystkie kompy i systemy operacyjne. Coś jak stare, wygodne buty.
Tomektkacz # wtorek, 3 listopada 2009 20:46:55
Właśnie przekonałem się do gromadzenia maili online i korzystania z poczty via www... Kilka dni temu stało mi się coś dziwnego i wcięło mi 100% dysku C i jakieś 3/4 dysku D, a tam miałem pocztę. Ech... Sacreble, zakląłem szpetnie po francusku i wywaliłem wszystkie klienty poczty, poza Operą