Strony infekujące komputery wirusami poprzez reklamy

Przeglądając wczorajszego wieczora pcformat natrafiłem na pewien interesujący artykuł dotyczący stron o tematyce... pornograficznej, które rzekomo infekują komputery poprzez reklamy, które są tam wyświetlane.
Link do artykułu.
Temat ten jest o tyle dla mnie ciekawy, że co jakiś czas jest o tym w sieci bardzo głośno. Nie jestem fanem pornografi ale interesuje mnie tutaj metoda działania takich stron - jak może się komputer zainfekować przez kliknięcie w reklamę na jakiejkolwiek stronie? Czasy Internet Explorera 6, gdzie komputer infekował się podczas przeglądania internetu już dawno minęły.
Sam postanowiłem więc sprawdzić stronę, która jest wymieniona tam na miejscu pierwszym i posiada największy procent zakażeń użytkowników. No to wchodzę i chciałem wyszukać jakiś film... benc, reklama! Tak - reklama pojawiła się po kliknięciu w wyszukiwarkę jednak nie byle jaka - wyskoczyło nowe okno przeglądarki, i na chwilkę prośba o uruchomienie wtyczki Java, która zresztą zaraz znikła i pojawił się błąd 403. I co zainfekowało mnie coś w ten sposób?
Z tego co wiem, żeby coś przez Javę dostało się do kompa trzeba wykonać autoryzację takiego apletu i potwierdzić go ręcznie - sprawdzałem na czacie onetowym, który jak zresztą większość tego typu stoi na Javie.
No nic założyłem więc, że komputer zainfekował mi się jakimś świństwem - przeskanowałem go na kilka sposobów: Windows Defender, ESET Online Scanner i jakieś narzędzie od Microsoftu do znajdywania i usuwania Malware - efekt? Nic nie znalazło.

Tak więc nasuwa się tutaj pewien wniosek, mianowicie taki, że tak naprawdę bzdury wypisują profesorki z pcformatów i innych gazet na temat infekcji komputera przez kliknięcie w reklamę. No bo powiedzcie mi jak i czy to jest w ogóle możliwe, żeby wirus ot tak się przez to dostał?
Przeglądarki nawet powinny mieć odpowiednie do tego zabezpieczenia - co więcej przeskanowałem również te stronę o której wcześniej wspomniałem skanerem virustotal i nic nie znalazł! To częściej mi chrome blokuje wp.pl twierdząc, iż jest zainfekowany niż właśnie strony, o których trąbią jako "niebezpiecznie". Co Wy o tym myślicie?

Kolejna rzecz - załózmy, że taki wirus już jakimś cudem dostał się do komputera i prowadzi słodką ekspansję. A na moim komputerze żyje sobie również obraz płyty z Adobe Photoshop'em. Więc co.. jeśli ten obraz przeniosę teraz na pendrive i zgram na inny komputer to przeniosę go razem z tym szkodliwym oprogramowaniem?

@mvt8 mało w życiu widziałeś ;] "wirusowy" applet javy to jest sposób na obejście wszechobecnych antywirusów i tyle. Wirusa możesz złapać przez obrazek jpg na stronie czy przez otwarcie spreparowanego pdfa podatną wersją adobe readera i na milion innych sposobów. Tyle że antywirusy teraz takie cuda wykrywają i na to nie pozwolą, przynajmniej jeśli chodzi o znane błędy. Nie mówię tu akurat o podatnościach 0day, które co rusz się gdzieś pojawiają i przed nimi zwykle nie ma ochrony. Tak więc możesz zaraz otworzyć pdfa na jakiejś stronie najnowszym readerem a mimo to złapać wirusa ;)
Google na dziś: metasploit

Moja metoda na takie rzeczy: BRAK pluginów w przeglądarce. Pluginy to tylko zło, ew. jakaś mało ciekawa funkcjonalność (czaty itd, jakby się tego nie dało zrobić w innej technologii, otwieranie pdfów w przeglądarce mnie irytuje, bo nie ma wtedy prostego, jednoklikowego sposobu, żeby taki plik zapisać). Dlatego wyłączam pliki pluginów jak tylko jakiś mi się wgra nowy i działa. Każda przeglądarka pochwali Ci się pluginami gdzieś. Jedynie Flasha pozostawiam (z lenistwa nawet nie Plugins-on-demand, choć powinienem, Flasha i tak używam tylko do youtube)

Jedyna 100% bezpieczna metoda to nie używanie Windowsa.

@othello mity z przed 15 lat. Że niby na linuxa nie ma exploitów albo na soft na linuxie? ;] Wolne żarty. 15 czy 20 lat temu faktycznie nie było bo... nikomu nie opłacało się ich pisać, kiedy społeczność linuxowa liczona była w tysiącach. Dzisiaj tak duzo serwerów stoi na linuxie że exploity opłaca się pisać. Oczywiście może miałes na myśli posiadanie dobrze skonfigurowanego systemu, z pozamykanymi wszystkimi dojściami i świadome używanie go? Ale w takim razie to samo tyczy się windowsa ;] Mnie na przykład nigdy się nie zdarzyło nic "złapać" pomimo używania windowsa, a bywałem w takich miejscach w internecie gdzie o to nie trudno (np. warezy z crackami i serial keyami).

Tak ale weź pod uwagę, że ataki ukierunkowane na serwery muszą działać inaczej. A nie przez wejście na stronę. Nikt na serwerze nie ogląda stron z reklamami. Więc w tym przypadku, prawdopodobieństwo zainfekowania jest praktycznie zerowe. Nawet przy posiadaniu domyślnie skonfigurowanego systemu za routerem/natem i najnowszego firefoxa.

Rozróżnijmy może ataki na serwery od exploitów/wirusów które uaktywniają się po działaniach użytkowników.

othello napisał(a):

Jedyna 100% bezpieczna metoda to nie używanie Windowsa.

Ilosc zglaszanych dziur po aplikacji: http://www.cvedetails.com/top-50-products.php
Linux na pierwszym miejscu [rotfl]

Zgłaszane czy wykorzystane? Kernel Linuksa to znacznie szersze pojęcie - wiele architektur, wiele eksploitów np tylko na ARM. Weź lepiej konkretną dystrybucję i porównaj np z Windows 7 bo każda nakłada swoje patche na kernel.

główną ścieżką przez które przedostają się wirusy to dziury w javie
http://istherejava0day.com/ ;)

a bardziej serio: http://java-0day.com/
większość jednak infekcji pochodzi ze zwykłego uruchomienia aplikacji przez nieświadomego usera - ot klika na wielki przycisk "Download" z reklamy przez co ściąga wirusa, albo "wtyczkę" niezbędną do odtworzenia filmiku, albo sam filmik z rozszerzeniem .wmv.exe

Jeszcze nie tak dawno: exploit na Flasha, po wydostaniu się z flashowego sandboxa wykorzystuje exploit na UAC w windowsie i proszę, malware ma dostęp administratora - maszyna klasycznie zainfekowana.

Przeciętny użytkownik ma bezwiednie poinstalowane po kilkanaście niepotrzebnych pluginów w przeglądarce (takich jak acrobat reader plugin, microsoft drm, google update, i inne podobne, które przychodzą wraz z popularnym, acz badziewnym softem) - idę o zakład, że przynajmniej w jednym z nich jest obecnie wykorzystywana jakaś dziura.

unikalna_nazwa napisał(a):

http://istherejava0day.com/ ;)
a bardziej serio: http://java-0day.com/

Nie wiem jaki jest sens w dyskusji o malware podawać linki do stron stworzonych przez dzieci. Pojęcie "0-day" to im nad głową przeleciało.

Trudno by komukolwiek było kogoś zainfekować przez Javę - dosłownie użytkownik musiałby sam siebie zainfekować na własne życzenie.

Jeśli chcesz być w miarę bezpieczny to mam tylko jedną radę: powywalać niepotrzebne pluginy, a jak ktoś koniecznie musi mieć flasha, to niech sobie ustawi tzw. click-to-play, a przeglądarkę, jak i pluginy, trzymać up-to-date.

@Kerai:

Trudno by komukolwiek było kogoś zainfekować przez Javę - dosłownie użytkownik musiałby sam siebie zainfekować na własne życzenie.

ja, komputerowe guru raczej, zostałem zainfekowany tylko po wejściu na stronę. nie wiem nawet dlaczego nie wyskoczył mi monit z pytaniem o uruchomienie apletu java :/
urchoniłby mnie tylko firewall, który wykrył nieuruchamianą jeszcze aplikację (już exe, które pojawiło mi się na dysku), ale odruchowo na to zezwoliłem. poza trzema osobami (w tym mnie) nie znam nikogo, kto używałby takiego firewalla, więc oni wszyscy nawet by nie zauważyli że coś się dzieje.
wirus podmienił windows update na wersję z syfem, na virustotal zero wykryć, a mój komputer atakował jakiś serwer w tle (część botnetu i DDOS)

@Kerai @dzek69 przecież co jakiś czas pojawiają się exploity na sandbox javowy i w efekcie nie musisz wcale "akceptować" uruchomienia appletu a on i tak ma dostęp do pewnych zasobów do których nie powinien go mieć.

dzek69 napisał(a):

nie wiem nawet dlaczego nie wyskoczył mi monit z pytaniem o uruchomienie apletu java :/
urchoniłby mnie tylko firewall, który wykrył nieuruchamianą jeszcze aplikację (już exe, które pojawiło mi się na dysku), ale odruchowo na to zezwoliłem. poza trzema osobami (w tym mnie) nie znam nikogo, kto używałby takiego firewalla, więc oni wszyscy nawet by nie zauważyli że coś się dzieje.

1. tych monitów jeszcze z rok temu nie było (dodali je dopiero po tym 0dayu, który ktoś postanowił opublikować) mogłeś zostać capnięty w tym okienku
2. każdy wirus może się nazwać java.exe i podobnie (poza tym działająca java w tle mogła tam być nie mając nic z tym wszystkim wspólnego)

dzek69 napisał(a):

wirus podmienił windows update
Siedziałeś na adminie? Przeglądarka nie powinna mieć dostępu do takich rzeczy, tym bardziej żaden proces przez nią odpalany. Comodo przed głupotą nie chroni :P

tych monitów jeszcze z rok temu nie było (dodali je dopiero po tym 0dayu, który ktoś postanowił opublikować) mogłeś zostać capnięty w tym okienku

Jak nie? Ja je pamiętam od zawsze chyba o.O No ale sporo przed tym zdarzeniem na pewno były.

każdy wirus może się nazwać java.exe

To co się uruchomiło zaraz po wejściu na stronę (która przy okazji przywiesiła przeglądarkę na chwilę) miało nazwę zbliżoną do plików instalacyjnych aktualizacji z Windowsa.

Siedziałeś na adminie?

Tak, WinXP to był, siedzenie nie-na-adminie jest tam zbyt irytujące dla mnie. Aczkolwiek widziałem już tyle syfu na nie-adminowych XP-kach, że sądzę, że zwiększenie uprawnień na tym systemie nie jest zbyt skomplikowane ;] I nie Comodo.

http://www.cvedetails.com/cve/CVE-2013-1489/
Przykład obejścia promptu javy. Aczkolwiek takie dziury są rzadkie - oprócz tej słyszałem jeszcze tylko o jednej podobnej.