Nowa fala złośliwych linków na Gadu-Gadu
Wielu czytelników poinformowało nas wczoraj o kolejnych przypadkach nieświadomego rozsyłania odnośników przez użytkowników programu Gadu-Gadu. Linki te prowadzą do różnych stron, na których użytkownicy systemu Windows i przeglądarki Internet Explorer oraz - w pewnych przypadkach - Firefox zostaną zainfekowani koniem trojańskim. Co ciekawe, wśród rozsyłanych linków jest także www.google.pl. Liczba komputerów z zarażonym systemem rośnie niezwykle szybko.
reklama
Oczywiście ręczne wpisanie adresu www.google.pl do przeglądarki nie spowoduje infekcji. Użytkownicy sieci GG, którzy w wyniku działania szkodnika otrzymali link do google.pl twierdzą, że ma on formę tekstową. W takiej sytuacji trudno jest zdefiniować cel rozsyłania adresu do google.pl, ale może on przynajmniej stanowić dowód na to, że akcja skierowana jest przede wszystkim przeciwko polskojęzycznym użytkownikom internetu.
Warto także pamiętać, że przestępcy mogą także podsyłać link w formie obrazka podlinkowanego do strony ze złośliwymi kodami. Obrazek można tak umieścić w okienku wiadomości, że wygląda jak zwykły tekst. Na szczęście forma obrazkowa nie ma takiego zasięgu jak tekstowa - nie wszystkie komunikatory mają możliwość odbierania grafiki wysłanej z Gadu-Gadu.
Według Exploit Prevention Labs rozsyłanych szkodników jest co najmniej dwa. Jeden z nich wykorzystuje znaną już lukę w systemie Windows, opisaną w biuletynie MS06-14. Drugi to poprawiona wersja exploita, który wcześniej powodował tylko zawieszenie się przeglądarki Internet Explorer, a teraz umożliwia także wykonanie zewnętrznego kodu.
Do rozprzestrzeniania się szkodniki wykorzystują listę kontaktów komunikatora Gadu-Gadu oraz przeglądarkę Internet Explorer. Użytkownicy sieci Gadu-Gadu otrzymują od osób, które mają je na liście swoich kontaktów, pojedyncze wiadomości z odnośnikami, takimi jak:
www.google.pl
www.jhjhaliwgpee.info
www.hsqvyrpzeh.info/wcoiyw.jpg
www.sqvyrpzeh.info/?awbiby.jpg
www.hhsqvyrpzeh.info/?awbiby.jpg
Linki te są często zniekształcone oraz zawierają losowe znaki za ukośnikiem. Zapraszamy do dodawania w komentarzach kolejnych adresów, które otrzymaliście.
Osoby rozsyłające złośliwe linki nie mają oczywiście pojęcia, że ich system Windows został zainfekowany. Wiadomości ze szkodliwym odnośnikiem rozsyłane są do wszystkich kontaktów na liście ofiary.
Jak donosi serwis Wikinews.pl, zagrożenie dotyczy również użytkowników systemu Windows korzystających z przeglądarki Mozilla Firefox z aktywną wtyczką Windows Media Player. Szkodnik jest uruchamiany właśnie przez tę wtyczkę. Można ją wyłączyć - podaje Wikinews - wpisując w pasek adresu przeglądarki:
about:config
Następnie należy odnaleźć klucz:
plugin.scan.WindowsMediaPlayer
i ustalić jego wartość na 12.0.
Kod trojana został wyodrębniony przez Smalu, który udostępnił go do wglądu (plik .txt) na swojej stronie.
Warto w tym momencie przypomnieć, że istnieją serwisy, jak LinkScanner, które umożliwiają sprawdzenie odnośników przed kliknięciem. W związku z coraz częstszym pojawianiem się złośliwych linków w sieci GG, twórcy program Gadu-Gadu wprowadzili niedawno ostrzeżenie przed otwieraniem odnośników, które pojawia się podczas próby otwarcia linku przesyłanego w wiadomości. Można także zgłaszać podejrzane linki do producenta na stronie bezpiecznik.gadu-gadu.pl
Wydaje się także, iż coraz częstsze wykorzystywanie listy kontaktów przez twórców szkodników internetowych powinno zachęcić użytkowników komunikatorów do stosowania nowego zwyczaju: zanim klikniesz w odnośnik od znajomego potwierdź, że wysłał go do ciebie świadomie.
Dziękujemy wszystkim czytelnikom za podesłane na e-mail informacje!