Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 22. oktober 2010

Bokhandel med ekstratjenester

De datakriminelle bruker etter hvert mange forskjellige triks for å lure vanlige brukere til å installere malware. I dag avdekket vi et nytt opplegg: en hel bokhandel satt opp kun for å lure brukere til å hente ned malware, kamuflert som nedlastbare bøker.


Lenker til bokhandelen (hxxp://worid-of- books.com) er injisert i tusenvis av vanlige web-sider ved hjelp av teknikker som SQL-injection og innhøsting av brukernavn/passord til web-tjenere. Dette fører til at Google, og andre søkesider, viser treff fra denne siden høyere oppe i søkeresultatene sine. Den letteste måten å komme inn på "bokhandelen" på er derfor sannsynligvis via Google e.l.


Søk på denne forfatteren (og mange andre!) med "download" etter gir altså link til malware som andre treff hos Google. Hvis en trykker på linken får en opp en tilsynelatende seriøs side med informasjon om en bok:


Hvis du trykker på download-knappen blir du servert en fil av typen "bokas_navn.pdf.exe". Windows gjemmer vanligvis filtypen for sluttbrukeren, så filen vil se slik ut etter å ha blitt lastet ned:


Normalt vil brukere få en advarsel av web-browseren når filen blir lastet ned om at filen kan være farlig. Hvis en dobbeltklikker på filen i Windows for å starte den, vil en også få en advarsel om at filen kommer fra en ukjent kilde. Hvis en svarer ja på disse advarslene, skjer det først ingenting. Men etter få sekunder dukker følgende bilde opp:


Hele bokhandelen er altså satt opp for å lure vanlige brukere til å laste ned falsk anti-virus. Denne varianten av falsk anti-virus er ganske plagsom, og det dukker stadig vekk opp advarsler og vinduer for eksempel av denne typen:


Vi testet denne varianten av falsk anti-virus mot Virus Total. Den har, som ventet, svært lav deteksjon. Kun 6 av 43 anti-virus-leverandører flagger filen som mistenkelig. Dette er typisk for falsk anti-virus, som stadig kommer i nye versjoner.

Dersom en prøver å hente ned flere "bøker" fra bokhandelen blir en møtt med følgende feilmelding:


Dette er antakeligvis gjort for å gjøre det vanskeligere å undersøke hva som faktisk foregår her. Eller kanskje synes bakmennene at bøkene er så billige at det får holde med én per kunde..

Av denne saken kan vi lære følgende:
  • Ikke stol blindt på søkeresultater fra Google og lignende, selv om resultatene kommer langt opp på listen og ser tilforlatelige ut. De kriminelle blir stadig flinkere til å komme høyt opp i resultatene ved hjelp av såkalt SEO (Search Engine Optimization). Hvis du ser etter en bok eller forfatter er det kanskje best å gå direkte til en kjent bokhandel på nettet.
  • Dersom noe er for godt til å være sant, så er det gjerne det. Bøker som en tilsynelatende kan hente ned gratis fra nettet burde få alarmbjellene til å ringe. Følg også nøye med på hva filnavnet slutter på og sjekk at filen er av forventet type. I dette tilfellet ble det servert en ".exe"-fil der en hadde forventet en ".pdf"-fil. Dersom en leser advarselen fra Windows før en starter filen vil en også kunne se at det er noe galt her.

Ingen kommentarer:

 
>