Ponad rok temu dokonałem bardzo prostego wpisu, w którym gdzieś pod koniec spłodziłem zdanie: Aplikacja do usuwania komunikatu o nielegalnym systemie Windows XP. Pobierz TUTAJ. Oczywiście nie siląc się na zaangażowanie pod odnośnikiem TUTAJ umieściłem plik .bat, który zawierał pseudo złośliwe treści i był swoistym eksperymentem:
@ECHO OFF
REM REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pirate
@ECHO WindowsXP.Patching.Registry
REM REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AntiPirate
@ECHO Registry
REM REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
@REM cd C:\WINDOWS\SYSTEM32
REM REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pirate
CLS
REM REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AntiPirate
@ECHO Registry
REM REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
@REM cd C:\WINDOWS\SYSTEM32
CLS
REM REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pirate
@ECHO Patching…
REM REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AntiPirate
@ECHO Registry
CLS
REM REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
@REM cd C:\WINDOWS\SYSTEM32
REM REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pirate
@ECHO WindowsXP
REM REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AntiPirate
REM REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pirate
@ECHO WindowsXP
REM REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AntiPirate
iexplore -new bohater.org/xp/antypirat//
REM REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
@REM cd C:\WINDOWS\SYSTEM32
@ECHO Registry
REM REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
@REM cd C:\WINDOWS\SYSTEM32
@ECHO.
Cały plik to zupełnie zmyślona ściema, wyłącznie jedna linijka ma sens: iexplore -new bohater.org/xp/antypirat// – czyli uruchomienie przeglądarki Internet Explorer z określonym adresem strony (z tekstem pouczającym o nieklikaniu wszystkiego co znajdziemy w sieci). Założyłem, że jeśli ktoś jest na tyle naiwny, że kliknie w aplikację .bat, która otwiera przeglądarkę – równie dobrze mogłoby to być polecenie instalacji złośliwego oprogramowania. Testem tym chciałem sprawdzić jak wiele maszyn byłbym w stanie przejąc w tak prostacki sposób.
Z logów serwera WWW z ostatnich 8 miesięcy wybrałem wyłącznie odniesienia do xp/antypirat/ i wyszło 268 połączeń! Odsiałem 17 połączeń bezpośrednio do xp/antypirat – a nie do xp/antypirat// (podwójne zakończenie miało na celu wyłapanie tych, którzy bezwiednie przepisywali adres bez dwóch znaków na końcu) i zostało 251. Następnie wybrałem dwa połączenia przedstawiające się jako system Linux (ah Ci szpiedzy :), by następnie wybrać wyłącznie przeglądarki przedstawiające się jako MSIE, do tego wpisy poprzedzone pobraniem pliku .bat, w przeciągu kilkunastu sekund. W ten sposób otrzymałem magiczną liczbę 237 prawie_na_pewno ofiar mojego prostego testu. W ten sposób przy żadnym zaangażowaniu, średnio zyskiwałbym jedną ofiarę dziennie. Rzecz jasna w kontekście zwiększenia skali przedsięwzięcia – liczba ta byłaby zapewne większa. Samych pobrań pliku .bat wyglądających na normalnych użytkowników, a nie boty było 4 259 co daje skuteczność w przybliżeniu prawie 6% bezmyślnie klikającej tłuszczy :] (choć skuteczność pewnie byłaby większa gdyby zamienić plik na .exe nie wykrywane przez żadne systemy antywirusowe itd.)
Eksperyment jasno pokazuje, że opisywane na blogu niejednokrotnie przykłady naiwności użytkowników miały miejsce, mają miejsce i zapewne jeszcze niejednokrotnie miejsce mieć będą :]
Jeszcze raz przypomnę o rozsądku i rozwadze podczas korzystania z przestrzeni internetowej, cytując na koniec mój ulubiony przekaz: Jeżeli ktoś uruchomi jakiś program na Twoim komputerze, to ten komputer przestaje być już Twój.
PS: Stronę z fałszywą aplikacją wyłączam. Dla porządku tego świata.
3 komentarze do
27 listopada, 2010 o godzinie 02:07
[…] DO USUWANIA KOMUNIKATU. WPIS TEN BYŁ EKSPERYMENTEM, O KTÓREGO WYNIKACH MOŻECIE POCZYTAĆ TUTAJ. […]
27 listopada, 2010 o godzinie 12:57
Bardzo ciekawy eksperyment :-)
30 listopada, 2010 o godzinie 14:15
Etam, ja też oczywiscie pobrałem ten pliczek ale tylko celem wybadania cóż to za smieszność sie tu znajduje (a przeciez nonsensem było by hostowanie takiego patcha na bothunters – smierdziało na odleglosc :)
Powąchałem tego bata w którym były dziwne tresci na konsole i niby wpisy w reg …usmiechnałem sie tyle.
To by miało sens ale jak by to zrobic na szersza skale :)