Το Εργαστήριο Καταπολέμησης Εχθρικού Λογισμικού της Panda Software (PandaLabs) εντόπισε μία νέα μορφή εχθρικού κώδικα με όνομα Adware/PremiumSearch, η οποία επιτίθεται σε ορισμένες από τις δημοφιλέστερες μηχανές αναζήτησης στο Internet. Πρόκειται για μία επίθεση η οποία μιμείται την συμπεριφορά ενός worm που παρουσιάσαμε την προηγούμενη εβδομάδα, το οποίο άλλαζε τις συνδέσεις των διαφημιζόμενων στις σελίδες ανευρέσεων του Google.

Σ αυτή την περίπτωση η μόλυνση προκαλείται κατά την επίσκεψη σε μία συγκεκριμένη ιστοσελίδα, στην οποία φτάνουν οι χρήστες από άλλες σελίδες που περιέχουν παράνομες εκδόσεις λογισμικού (warez) ή πορνογραφικό περιεχόμενο. Επιπρόσθετα με το PremiumSearch, η σελίδα αυτή εγκαθιστά στους υπολογιστές των "θυμάτων" το Application/WorldAntiSpy, καθώς και μία παραλλαγή του Smitfraud, κάνοντας τους χρήστες να πιστέψουν ότι έχουν μολυνθεί από μία σειρά απειλών και ότι θα πρέπει να πληρώσουν για να απολυμάνουν τους υπολογιστές τους.

Το PremiumSearch εκμεταλλεύεται ορισμένα προβλήματα ασφάλειας τα οποία χρησιμοποιούνται συχνά από λογισμικό spyware, όπως τα ByteVerify, LoadImage και Mhtredir, για να εγκαταστήσει ένα αντικείμενο BHO (Browser Helper Object) στον υπολογιστή. Κατόπιν εγκαθιστά μία γραμμή εργαλείων 'τύπου Google' (η οποία δεν προέρχεται από το Google αλλά έχει δημιουργηθεί από κάποιον τρίτο), και τροποποιεί το αρχείο HOSTS. Το αντικείμενο BHO αντικαθιστά επίσης την αρχική σελίδα της εφαρμογής browser με την σελίδα αναζήτησης του PremiumSearch, ακόμη κι αν ο χρήστης έχει καθορίσει μία διαφορετική σελίδα στις ρυθμίσεις της εφαρμογής browser που χρησιμοποιεί.

Οι τροποποιήσεις που γίνονται στο αρχείο HOSTS και οι ενέργειες που κάνει το αντικείμενο BHO κατευθύνουν τους χρήστες που ζητούν τις σελίδες των MSN, Yahoo! και Google (στις εκδόσεις τους για 60 και πλέον χώρες) σε πλαστές, παραποιημένες απομιμήσεις τους οι οποίες είναι ίδιες με τις αυθεντικές σελίδες σε όλα εκτός από το γεγονός ότι τα πρώτα αποτελέσματα που εμφανίζουν είναι αλλοιωμένα (τα υπόλοιπα αποτελέσματα είναι ίδια με αυτά των αυθεντικών σελίδων). Το ίδιο συμβαίνει και με τις αναζητήσεις που εκκινούν οι χρήστες μέσω της παραποιημένης γραμμής εργαλείων του Google. Η ιστοσελίδα από την οποία λαμβάνονται οι παραποιημένες εκδόσεις στεγάζεται κάπου στις ΗΠΑ.

Για την εξουδετέρωση αυτής της απειλής, η Panda Software έχει ήδη επικοινωνήσει με την εταιρεία παροχής Internet στην οποία στεγάζονται οι σελίδες που χρησιμοποιεί.

«  Προηγούμενo άρθρo	Επόμενo άρθρo  »