Med prebiranjem novic glede zadnjih aktualnih dogodkov v Sloveniji smo zašli tudi na facebook profil enega od vpletenih v aferi.
No tokrat se ne bomo spuščali v komentiranje dogodka, kajti kot varnostim strokovnjakom nas je med objavami na zidu še najbolj pritegnil komentar, ki je nekako izstopal iz množice:
Obisk te spletne strani uporabnikom močno odsvetujemo. Se pa ob kliku na povezavo odpre spletna stran, ki na prvi pogled izgleda povsem kot youtube.com. Le da tokrat obiskovalce čaka obvestilo, da posnetka ne morejo pogledati, ker nimajo nameščene ustrezne verzije flash predvajalnika.
Kogar je obljubljeni posnetek tako premamil, da je kliknil na povezavo in tudi zagnal prenešen program flash.exe, posnetka žal še vedno ni mogel pogledati, saj ga na spletni strani sploh ni. Je pa verjetno s tem okužil svoj računalnik, saj v času pisanja tega članka omenjeno datoteko prepozna kot zlonamerno 10 od 42 testiranih antivirusnih programov.
Analiza je pokazala, da po okužbi na sistemu tečeta 2 zlonamerna programa: eden pošilja prijateljem uporabnika okuženega računalnika na facebook sporočila, kot smo jih videli v zgornjem primeru, drugi pa je IRC bot, ki se poveže na oddaljen kontrolni strežnik, od koder ima napadalec popoln dostop do okuženega sistema.
Omenjeni IRC bot ima še eno neprijetno lastnost: če uporabnik v okužen računalnik vstavi USB ključek ali prenosni disk, se zlonamerni program skopira nanj, in sicer na tak način, da se poskuša avtomatsko zagnati ob vstavitvi ključka v drug sistem.
Previdnost torej ni odveč tudi pri povsem običajnem brskanju po spletnih straneh, za katere morda tudi pomislili ne bi, da so lahko nevarne.
Tadej Hren