Korzystasz z komunikatora? Uważaj na szpiega!
Użytkownicy komunikatora Gadu-Gadu stali się celem ataku nowego konia trojańskiego. "Szkodnik", o którego pojawieniu się poinformowali eksperci z firmy Dagma, rozprzestrzenia się za pośrednictwem wiadomości, zachęcającej do obejrzenia zdjęć opublikowanych na stronie WWW. Jeśli ktoś będzie na tyle nieostrożny i kliknie na zawarty w komunikacje link, to istnieje wysokie prawdopodobieństwo, że jego komputer zainfekowany zostanie przez trojana, podszywającego się pod... program antyspyware'owy. "Tego typu tricki były już stosowane od dawna i raczej nie jest to jakaś specjalna rzadkość. Nie ma przy tym znaczenia użyty wehikuł: czy będzie to Gadu-Gadu, czy P2P czy też na przykład grupa newsowa albo forum dyskusyjne. Dagmie należą się wyrazy uznania za zwrócenie uwagi na ten problem, gdyż wielu użytkowników Internetu daje się łatwo skusić na wejście na podstawioną stronę WWW" - komentuje Michał Jarski, ekspert z polskiego oddziału firmy Internet Security Systems.
Przebieg ataku wygląda następująco - do użytkownika komunikatora wysłana zostaje wiadomość "Witam, dzisiaj jest odpowiedni moment, aby się poznać" wraz z odnośnikiem do strony, mającej jakoby zawierać zdjęcia rozmówcy. Jeśli użytkownik kliknie ów odnośnik, zostanie skierowany na stronę z koniem trojańskim TrojanDownloader.Agent.AQ, który będzie próbował automatycznie zainstalować się w systemie poprzez znaną od dawna lukę w zabezpieczeniach przeglądarki Internet Explorer. Specjaliści z Dagmy zastrzegają, że Microsoft udostępnił już łatkę usuwającą ową dziurę - jednak trzeba pamiętać o tym, że wielu użytkowników Windows nie korzysta z aktualizacji, pozostają więc podatni na atak.
Jeśli TrojanDownloader.Agent.AQ zdoła zarazić system, jego pierwsze działania to zmiana tapety pulpitu i wyłączenie systemowego firewalla. Później trojan uruchamia aplikację, podszywającą się pod program antyspyware'owy - w czasie przeprowadzanego przez nią "skanowania systemu" pobierane są dodatkowe, złośliwe programy - spyware oraz adware.Atak na zlecenie?
"Korzystanie z polskich komunikatorów jako narzędzi rozpowszechniania spyware pokazuje, iż ataki spyware nie są problemem tylko amerykańskim. Najprawdopodobniej polscy przestępcy coraz częściej stają się zleceniobiorcami zagranicznych hakerów tworzących sieci komputerów rozprzestrzeniających spyware i adware. Użytkownikowi zakażonego komputera wyświetlane są reklamy - właśnie za zdobywanie kolejnych osób, którym można wyświetlać reklamy opłacani są przestępcy rozprzestrzeniający programy spyware i adware" - tłumaczą przedstawiciele Dagmy. Firma przygotowała film, ilustrujący przebieg ataku - zachęcamy do jego obejrzenia w IDG TV - http://www.idg.pl/tv/index.asp?kat=&typ=v&id=96428 .
O problemie zostali poinformowali przedstawiciele firmy Gadu-Gadu, której komunikator jest wykorzystywany przez przestępców do dystrybuowania Trojana. Firma natychmiast zaczęła blokować odnośniki do stron zawierających Trojana - jest to jednak zadanie trudne, ponieważ osoby dystrybuujące trojana często zmieniają adresy stron zawierających "szkodnika" ).
"Trojan rozprzestrzenia się za pomocą podsyłanych linków poprzedzonych np. zachęcającym zdaniem "tu są twoje fotki". Niewiele to ma wspólnego z samym Gadu-Gadu - równie dobrze mogłoby się rozprzestrzeniać za pomocą e-maila ( a ponieważ GG jest masowym, popularnym narzędziem do komunikacji, to i ten sposób wykorzystują twórcy złośliwego oprogramowania w Polsce ). Sama forma linku z zachęcającym zdaniem "tu są moje fotki" to typowy przykład zastosowania socjotechniki przez twórców złośliwego oprogramowania" - powiedział nam Jarosław Rybus, przedstawiciel Gadu-Gadu. "Pamiętajmy - przeglądając strony WWW, czytając pocztę e-mail, należy zawsze uważnie i z rozwagą korzystać z wiadomości przesyłanych od nieznajomych nam osób. Pamiętajmy o podstawowych zasadach bezpiecznego korzystania z Internetu" - dodaje Jarosław Rybus.Gadu-Gadu blokuje trojana
Przedstawiciel Gadu-Gadu wytłumaczył też, jakie środki zaradcze podejmuje w tej sprawie firma. _"Blokujemy przesyłanie wiadomości zawierających niebezpieczne linki ( dany link jest blokowany w sieci, a więc nie jest dalej przesyłany ), blokujemy numery GG, z których wysyłane są niebezpieczne linki, a także blokujemy numery IP, z których najczęściej te numery się łączą. Zapewniam, że każde takie zgłoszenie ( dział supportu pracuje 24 godz. na dobę ) traktujemy z wysokim priorytetem. Informacja dla czytelników: wszelkie zgłoszenia proszę kierować na mailto:tech@gadu-gadu.pl_" - mówi Jarosław Rybus.
Okiem eksperta
"Nihil novi sub sole - tego typu tricki były już stosowane od dawna i raczej nie jest to jakaś specjalna rzadkość. Nie ma przy tym znaczenia użyty wehikuł: czy będzie to Gadu-Gadu, czy P2P czy też na przykład grupa newsowa albo forum dyskusyjne. Dagmie należą się wyrazy uznania za zwrócenie uwagi na ten problem, gdyż wielu użytkowników Internetu daje się łatwo skusić na wejście na podstawioną stronę WWW. A co tam można znaleźć to już oddzielna historia: wirusy, trojany, backdoory, spyware..." - tłumaczy Michał Jarski, ekspert z polskiego oddziału firmy Internet Security Systems. "Robak, trojan czy spyware dystrybuowany w ten sposób ma naturalnie mniejszy zasięg, gdyż wymaga zatrudnienia osoby, która wyczuje moment w dyskusji aby podłożyć link. Nie ma tu miejsc na automat rozsyłający taki link, jak w przypadku maila. z drugiej strony prawdopodobieństwo kliknięcia jest dużo, dużo wyższe. W rezultacie skuteczność netto może być zbliżona, a nawet lepsza - zważywszy jeszcze kontekst kulturowy. A jeśli chodzi o
ten konkretny kod atakujący - no cóż - kolejna sprawnie przygotowana paczka złośliwych programów. Zaznaczam, że ładnie zapakowana, bo podszywa się pod Win Security Center i system antyspamowy" - mówi przedstawiciel ISS.
Podstawowym sposobem zabezpieczenia się przed infekcją koniem trojańskim jest ignorowanie komunikatów z odnośnikami, wysyłanych do nas przez nieznanych użytkowników komunikatorów. Należy również uaktualnić przeglądarkę Interet Explorer ( najprostszym sposobem jest skorzystanie z usługi Microsoft Update - http://update.microsoft.com ).