SpeedTest.net może zainfekować "fake AV"

[ichito]

Dwa dni temu pokazała się na blogu Armorize Malware Bloginformacja, że znana, popularna i ceniona przez użytkowników strona, na której można było sprawdzić szybkość posiadanego łącza internetowego - SpeedTest.net- została skompromitowana . Użytkownicy korzystający ze strony i posiadający nieaktualne wersje wtyczek np. Java, Adobe Flash, Adobe Readermogą zostać zainfekowani fałszywym antywirusem o nazwie "Security Sphere 2012" (rodzina fake AV "Security Shield"), który instaluje się na stałe, blokuje komputer i proponuje "zakup licencji" celu jego usunięcia.

[Aby zobaczyć linki, zarejestruj się tutaj]

SpeedTest.net wykorzystuje własną platformę opartą na OpenX i właśnie ta platforma została zaatakowana, dzięki czemu użytkownik narażony jest na atak "iframe"- złośliwy kod został wstrzyknięty we wszystkie reklamy, banery, itp. Na blogu zaprezentowano film video, w jaki sposób dochodzi do infekcji.
Źródło - Armorize Malware Blog

[Aby zobaczyć linki, zarejestruj się tutaj]

Dodatkowe informacje - opis i sposób usuwania - na Bleepingcomputer.com

[Aby zobaczyć linki, zarejestruj się tutaj]

[ktośtam]

ichito kradzieju tematów!

[ichito]

Sorryyy!!

[Tomasz]

Wykończysz mnie....

Ale na szczęście ja mam wszystkie wtyczki aktualne I nic takiego u mnie nie ma miejsca, więc chyba wszystko ok

[ktośtam]

Dość istotna informacja dotycząca tego malware:

The malware detects common VMs (virtual machines) and will not execute inside a VM or sandbox. This helps it avoid detection.

Ciekawe jest również, czy do infekcji dojdzie w przypadku kiedy używamy innej przeglądarki niż wysłużony IE6 na Windows XP (platforma testowa z video na armorize.com).
Podejrzewam też, że którykolwiek HIPS czy BB poradziłby sobie z Security Sphere 2012.

[buri]

Dobrze, że wróciłem do Linuksa i tam testowałem swoje łącze. Ciekawe właśnie jak na innych przeglądarkach, używam Opery z blokadą zewnętrznych skryptów więc raczej tak źle nie powinno być.

[polak900]

hahha nowy security tool tylko pod ciekawszą nazwą

[Tomasz]

win 7 x64 z aktualnymi wtyczkami - MBAMi KIS nic nie wykrywa, a ja też nie widzę nic podejrzanego... także albo informacja przesadzona, albo rzeczywiście trzeba mieć przestarzałe wtyczki.

[Eugeniusz]

U mnie na PCLOS-ie nic się nie stało.

[ReviewsAntivirus]

win 7 x64 z aktualnymi wtyczkami - MBAMi KIS nic nie wykrywa, a ja też nie widzę nic podejrzanego... także albo informacja przesadzona, albo rzeczywiście trzeba mieć przestarzałe wtyczki.

U mnie ESET NOD32 Antivirus wykrył to zagrożenie:

[Aby zobaczyć linki, zarejestruj się tutaj]

Korzystam z Firefox 7.0.1

[Tomasz]

A miałeś aktualne wtyczki?

[ReviewsAntivirus]

Tak, aktualne

[Tomasz]

No cóż ... u mnie w każdym razie komputer wydaje się być czysty.

[Flash999]

Zdaje mi się, że to już jest nieaktywne. Po normalnym wejściu na Speedtest - zero reakcji avasta!. Po wejściu w link podany przez ReviewsAntivirus zostaje zablokowane.

[Tomasz]

O jakim linku mówisz?

[ReviewsAntivirus]

Ten komunikat ESET-a pojawił się dopiero po kilku próbach wejścia na stronę SpeedTest.net.

[Flash999]

@Tomasz - link z komunikatu ESETa.
Próbowałem już z 20 razy różnymi przeglądarkami i nic.
To ten link:
[malware] wrwrewreretyyt.ce.ms/main.php?page=7ea95018dadb2594[/malware]

[Tomasz]

U mnie MBAM w każdym razie nie blokuje, KIS też nie.

[Flash999]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Tomasz]

Link ReviewsAntivirus

[Aby zobaczyć linki, zarejestruj się tutaj]

Speedtest.net

[Aby zobaczyć linki, zarejestruj się tutaj]