Klikuem sobie dziś w sportowe wiadomości, a tam informacja o tym, że w Hokeju już nic nie będzie takie jak kiedyś. Ciekawy byłem co takiego się wydarzyło i doczytałem, że jeden sławny hokeista uderzył drugiego sławnego hokeistę niby nie uderzając, ale zarazem nokautując. Standardowo wrzuciłem wyrazy związane z tą sytuacją w youtube by po chwili dowiedzieć się, że prawa do filmu zderzeniowego posiada jakaś firma i się sportowych wyczynów nienaoglądam więc postanowiłem użyć narzędzia diabła czyli wyszukiwarki Google: jagr 2010 vancouver movie hit
Zadziwiła mnie powtarzalność wyników (patrz obrazek) i jak się okazało miałem rację. Pierwsze dwadzieścia kilka wyników wyszukania, za pomocą systemu przekierowań próbowało przekonać mnie do instalacji fałszywego oprogramowania antywirusowego. Kampania o tyle gruba, że bierze w niej udział masa domen i masa stron kierujących.
W skrócie akcja kierująco, omamiająca wygląda tak:
Najpierw klikamy w link z wyszukiwarki:
http://www.darkschneidr_com/htp.php?sell=jaromir%20jagr%20olympics%202010
który kieruje nas do (ale tylko i wyłącznie gdy łączymy się z wyników wyszukiwarki Google czyli pole Referer jest ustawione na google.com, w przeciwnym wypadku kieruje nas do cnn.com):
http://fsh2r5_xorg_pl/in.php?t=cc&d=21-02-2010_t_22.02_0800_testo2&h=www.darkschneidr.com&p=google.com
Tutaj delikatnie polski akcent :], który kieruje nas do (ale tylko i wyłącznie gdy łączymy się z jakiejś strony kierującej czyli pole Referer istnieje, w przeciwnym wypadku kieruje nas do http://new_dclicksit_com/s.php?q=Buy+cheap+viagra):
http://www1_hufy-good_in/?uid=195&pid=3&ttl=4174d636125
która już zupełnie zwyczajnie kieruje nas do:
http://www1_flyhighwithyournewpc_in/?p=p52dcWltbV%2FCj8bYboNuilik12qYVp%2FZatrauJ%2BCoKXcz4mbm5h2lpeJpqTPnNvUV6ShoG9slWSWlGaZY5SWmFeqppfZ1tZ2Y1qqcV6ooa3Nkq GMl5mZmW9e2pbHp22MltOhm2dlY2eWj5VpYmJqZF6mnZ%2BeU9jZbmFfamhwm1%2BbZ2SModaWoGJpaGydmJVyaWhfl5txiIU%3D
która to uruchamia proces tłumaczenia, że system jest zainfekowany i szybko należy pobrać odtrutkę, będącą oczywiście trutką :]
Trutka po dodaniu do serwisu virustotal wykazała się wysoką skutecznością obronną gdyż jak pokazuje raport z virustotal.com jedynie 5/41 (12.2%) systemów antywirusowych wykryło próbkę. Z uwagi na fakt, że jestem gościem na komputerze, z którego aktualnie klikam, nie będe testował co działoby się dalej :]