Cei care nu au actualizat la ultima versiune programele Java, Adobe Reader si Flash Player la cele mai noi versiuni si care au vizitat site-ul Yahoo.com, inclusiv pentru a-si verifica mailul, in ultimele zile, au fost tinta unui atac care se folosea de o reclama pentru a instala virusi foarte priculosi. Acestia pot fura bani din cont si date personale.
Pentru a se proteja de astfel de atacuri, utilizatorii sunt sfatuiti sa actualizeze imediat pluginurile web (Java, Adobe Reader si Flash Player) si sa-si instaleze o solutie antivirus performanta.
Iar pentru a afla mai multe detalii, Ziare.com a stat de vorba cu Bogdan Botezatu, Senior E-Threat Analyst la Bitdefender.
Cum isi pot da seama utilizatorii daca au fost infectatii cu virusii respectivi
Virusii distribuiti prin aceasta campanie sunt extrem de greu de detectat de un utilizator obisnuit, deoarece acestia dintai fura date fara a afisa vreun indiciu si fara a ingreuna calculatorul. Cea mai sigura metoda de detectare a unei posibile infectii e scanarea cu o suita de securitate actualizata la zi.
Atacul are loc si pe Yahoo Messenger (sau alte servicii) sau doar pe site-ul Yahoo.com?
Atacul se bazeaza pe reclamele din pagina Yahoo, care se afiseaza exclusive pe website, nu si pe clientul de Instant Messenger. Doar utilizatorii de Yahoo care au vizitat website-ul (fie pentru a verifica email-ul, fie pentru a citi stirile) au fost expusi.
Trebuie sa dai click pe reclama malitioasa sau computerul e virusat automat?
Nu, acest atac nu cere interactiunea utilizatorului. In momentul in care s-a incarcat pagina Yahoo si reclama a fost afisata, utilizatorul e deja infectat. Atacul necesita insa, ca respectivul calculator sa aiba o versiune vulnerabila de Java, Adobe Flash Player sau Adobe Reader.
Daca utilizatorii au o versiune la zi a acestor utilitare si toate patchurile de securitate pentru sistemul de operare, calculatorul acestora nu e compromis, chiar daca au vizitat pagina Yahoo pe durata in care atacatorii desfasurau campania.
Cum functioneaza atacul
Atacul functioneaza pe calculatoarele care au instalat programul Java.
La incarcarea reclamei, un cod vulnerabil rula intr-un iframe (un format video digital care utilizeaza codificare video si audio), care ducea ulterior la un set de exploit-uri (program sau o secventa de date ori de comenzi care exploateaza o vulnerabilitate a unui sistem informatic in scopul de a cauza un comportament neprevazut sau neanticipat al respectivului sistem).
Acesta verifica versiunea de Java si furniza un applet (program software specific Java) modificat cu scopuri malefice. Odata incarcat, el declansa o vulnerabilitate ce instala diversi virusi, printre care Zeus (malware financiar) si Dorkbot (un virus cu capabilitati de control de la distanta).
Virusul Zeus incearca sa manipuleze tranzactiile online pentru a transfera sume de bani din conturile utilizatorilor catre cele ale atacatorilor.
In cazul infectarii cu Dorkbot, atacatorul planteaza pe calculatorul victimei un backdoor, urmand sa decida mai tarziu cum va controla sistemul infectat. (ziare.com)
