Nowości z laboratorium wirusów

Kto umieszcza złośliwe skrypty na portalach z grami komputerowymi dla dzieci?

Julia Szymańska 20 sty 2012

Kto umieszcza złośliwe skrypty na portalach z grami komputerowymi dla dzieci?

Fenomen on-line gier komputerowych dotarł do każdego zakątka świata.

Urocze, kolorowe strony na których dzieci spędzają całe godziny grając, stały się wdzięcznym obiektem ataków złośliwych oprogramowań.

Córka naszego PR-owca ma całkiem spory udział w odkryciu tego faktu. Gdyby pewnego dnia grając na komputerze nagle nie wykrzyknęła: „tato, internet nie działa!”, zapewne nie powstałby ten tekst. :D Otóż okazało się, że połączenie internetowe nie zostało przerwane, ale avast! Antivirus zablokował dostęp do strony, na której umieszczono złośliwy skrypt.

Lyle Frink, PR-owiec v AVAST Software, postanowił przyjrzeć się tomu bliżej. Przejrzał statystyki dotyczące zainfekowanych

stron internetowych.Wystarczyło wpisać kluczowe słowo: game lub arcade (ang. gra) i od razu pojawiły się dwie strony cutearcade.com oraz hiddenninjagames.com.

Obie strony przypominały te, z których korzystała córka Lyla Frinka.

Po przekazaniu tych danych do laboratorium wirusów, Jan Sirmer jeden z analityków przyjrzał się dokładniej skryptom potwierdzając, że cutearcade.com zostało zainfekowane przez JS:Redirector oraz JS:ScriptXE-inf. Jak wygląda taki kod? Obrazek poniżej

Użytkownicy strony zostali przekierowani na linuxstabs.com, znaną z dystrybucji złośliwego oprogramowania. Pierwotny skrypt został jednak zawczasu wykryty przez antywirusowy silnik avast.

Skrypt na stronie Hiddenjinjagames został wykryty i zablokowany przez avast! Antivirus na początku września 2011. Laboratorium wirusów wykryło go jako infekcję typu “I” frame, iframe astrofiber.co.be/showthread.php?t=20070066, umieszczoną tuż przed <HTML> tag.

Strona prawdopodobnie jest częścią zestawu, wykorzystywanego do przeprowadzania automatycznych ataków. Wykorzystywanie luk w systemach i ich słabych punktów jest najczęstszym sposobem przeprowadzania ataków. Ale tego możemy się jedynie domyślać. ponieważ URL nie było aktywne na początku stycznia.

Prowadzi to do interesującej konkluzji i finałowego paradoksu: podczas pierwszych czterech miesięcy, liczba wizyt członków CommunityIQ na stronie była taka sama. W momencie, kiedy zestaw do wykorzystywania automatycznych ataków przestał być aktywny, liczba wizyt gwałtownie zmalała. Czyżby twórcy złośliwych oprogramowań tak dobrze znali się na dzieciach, wiedząc, że to co niebezpieczne i zakazane jest najbardziej pożądane? A może za atakami stoją zdesperowani rodzice, którzy nie wiedzą jak oduczyć swoje pociechy notorycznego wysiadywania czy wręcz uzależnienia od grania? :D