Como a visita a uma página da Web pode infectar seu computador?

17

O computador da minha mãe foi infectado recentemente com algum tipo de rootkit. Tudo começou quando ela recebeu um e-mail de uma amiga íntima pedindo para ela verificar algum tipo de página da web. Eu nunca vi, mas minha mãe disse que era apenas um tipo de blog, nada de interessante.

Alguns dias depois, minha mãe fez login na página inicial do PayPal. O PayPal deu algum tipo de aviso de segurança, afirmando que, para evitar fraudes, eles precisavam de algumas informações pessoais adicionais. Entre algumas das informações mais normais (nome, endereço etc.), eles pediram o SSN e o PIN do banco! Ela se recusou a enviar essas informações e reclamou ao PayPal que elas não deveriam solicitá-las.

O PayPal disse que nunca pediria essas informações e que não era a página deles. Não havia esse "aviso de segurança" quando ela se conectou a partir de um computador diferente, apenas do dela. Não foi uma tentativa ou redirecionamento de phishing de algum tipo, o IE mostrou claramente uma conexão SSL para https://www.paypal.com/

Ela lembrou-se daquele email estranho e perguntou à amiga sobre isso - o amigo nunca o enviou!

Obviamente, algo no computador dela estava interceptando a página inicial do PayPal e esse e-mail foi a única outra coisa estranha que aconteceu recentemente. Ela me confiou para consertar tudo. Desliguei o computador da órbita, pois era a única maneira de ter certeza (ou seja, reformatava o disco rígido e fazia uma instalação limpa). Isso pareceu funcionar bem.

Mas isso me fez pensar ... minha mãe não baixou e executou nada. Não havia controles ActiveX estranhos em execução (ela não é analfabeta no computador e sabe não instalá-los) e usa apenas o webmail (ou seja, não há vulnerabilidade no Outlook). Quando penso em páginas da Web, penso na apresentação de conteúdo - JavaScript, HTML e talvez algum Flash.

Como isso poderia instalar e executar software arbitrário no seu computador? Parece meio estranho / estúpido que essas vulnerabilidades existam.

Cybis
fonte
Provavelmente usando um flash player desatualizado, acredito que havia uma vulnerabilidade em uma versão recente que permitiria esse tipo de coisa.
1
Possível duplicado: superuser.com/questions/106809/…
Hello71

Respostas:

7

Se ela estiver usando uma versão desatualizada do IE (ou Firefox), então existem vulnerabilidades conhecidas no próprio navegador. Sim, é meio estranho / estúpido, mas escrever um software perfeito é muito, muito, muito, muito difícil.

Provavelmente, existem vulnerabilidades desconhecidas / não divulgadas nas versões atuais dos navegadores da Web (assim como em qualquer outro software)

kibibu
fonte
Eu sei que escrever um software perfeito é muito difícil. Mas isso parece uma vulnerabilidade estranha. Quase como se um arquivo jpg criado com códigos maliciosos pudesse explorar uma falha no photoshop, instalando um vírus. Simplesmente não faz sentido que os dados da imagem (ou, neste caso, html / javascript) possam ter alguma coisa a ver com o acesso ao sistema de arquivos da sua máquina.
1
Tem muito a ver com o acesso ao sistema de arquivos. É tudo em cache e processado localmente.
John T
3

Estou bastante convencido de que o flash tem algumas vulnerabilidades. Fui infectado por sites que visitei usando o Firefox e tenho certeza de que não instalei nada.

Spencer Ruport
fonte
Outra razão para odiar o flash!
alex
0

Veja as atas de scripts entre sites (XSS) - wikipedia ref .

Também pode ser um malware executável em um anexo de email iniciado.
Mas, como você descreve a possibilidade de acessar um site, é provável que uma exploração do navegador a partir do site referido seja a culpada.

Se ela clicar nos links da caixa de correio enquanto a Internet estiver conectada,
todas as vulnerabilidades do navegador serão expostas aos sites que ela acessa. Você deve pelo menos manter a máquina corrigida (se o sistema operacional ainda for compatível) e instalar um antivírus (sim, isso trará uma grande conversa aqui).

Mas, em grande parte, seria aprender a não clicar em nenhum link desconhecido ou abrir anexos inesperados que manterão seu sistema mais seguro .

Esta pergunta não deve ser migrada para o SuperUser ?


O arquivo host do Windows pode ser modificado para tornar o sistema sempre desviado (mesmo após uma reinicialização).
Aqui está um ataque mais evoluído usando essas coisas - Como o malware expande uma rede de phishing .
Se você usa coisas como o Spybot Search & Destroy . Ele continuará verificando o arquivo do seu host quanto a danos.

nik
fonte
Estou ciente dos ataques XSS, mas não foi esse o caso. Você pode reiniciar o computador e procurar imediatamente o paypal e ainda obter a mesma página falsa. É claro que ela clicou no link enquanto estava conectada - ela não usa um programa de cliente de e-mail, ela usa um aplicativo da web através do navegador. Ela estava usando o IE8 + WinXp SP3, com todas, exceto talvez as atualizações mais recentes.
Não entendo o conselho "Aprenda a não clicar em nenhum link desconhecido ..." Sempre que você faz uma pesquisa no Google, ignora todos os sites que você nunca visitou antes? Além disso, eu disse que ela não é analfabeta em computadores. Ela sabe que não deve abrir anexos estranhos (é claro, se o email vier de um amigo ou família próximo, você ainda será cético? Você sempre
E o que é SuperUser? Outro site do tipo stackoverflow? Isso está relacionado à programação - por exemplo, que relação o javascript poderia ter com o sistema de arquivos de uma máquina.
1
Ok, por favor, não leve isso tão mal, eu não sou de forma alguma cínico. Concordo que isso é quase programação, mas é mais adequado para o site SuperUser.com nesse mesmo fórum, pois envolve uma interação do usuário e não uma solução de programação.
nik
1
Sobre "aprender a não clicar em nenhum link desconhecido" e pontos relacionados. Entendo que é difícil deixar o usuário casual mais alerta sobre essas coisas ... e, acho que você já está trabalhando nisso. Porém, observe que um link desconhecido não é tão simples quanto um resultado de pesquisa do Google (que na verdade é um mau exemplo, pois há uma certa verificação de phishing feita pelo Google nos próprios resultados de pesquisa). Você não precisa telefonar para alguém toda vez que avança .. mas, uma estratégia melhor precisa ser elaborada.
284 nik
0

Esse tipo de exploração só é perigoso se você executar o navegador com direitos de administrador.

Dentrasi
fonte
0

O IE não é de forma alguma um navegador seguro, mas uma página da Web não deve infectar um computador, a menos que esteja explorando algumas brechas de segurança bastante grandes nos plug-ins e / ou recursos adicionais do navegador.

Para ser o mais seguro possível, use um navegador da Web (como o Google Chrome) que exibe páginas da Web em uma sandbox, um ambiente virtual, que impedirá que códigos maliciosos cheguem ao seu computador. Além disso, o chrome entra em contato com um banco de dados de sites mal-intencionados e exibe um aviso antes de carregá-los, apenas para ter certeza.

Escrever plug-ins e complementos para navegadores sempre envolverá um equilíbrio de poder versus segurança; alguém acabou de dar ao plug-in um pouco de poder. (Eu estou apostando seu java)

Ryan
fonte
-1

Estou inclinado a acreditar que o que ela experimentou foi resultado de um plug-in desatualizado como Flash ou Java. A menos que você tenha uma necessidade real de Java no sistema, remova-o. E sempre tente manter-se atualizado com os instaladores. Realmente, se a segurança é um problema, eu diria para eles usarem o Linux. Isso tem um atualizador muito melhor. Como alternativa, pode haver uma exploração dentro do próprio navegador. O IE8 é um navegador antigo preenchido com falhas de segurança. Use o Chrome, Opera ou Firefox, todos eles são muito mais modernos e seguros. Além disso, o fato de ela estar usando o XP significa que o sistema não tem absolutamente nenhum conceito de permissões. Não há sudo & root e nem UAC. Os sistemas operacionais Windows mais modernos, como os 7 e 8, têm o UAC, que, embora não seja parecido com o sudo + apparmor / SELinux no Linux, ainda é muito melhor do que nada.

Apenas para limpar uma confusão, um site pode infectar seu computador sem plug-ins. Ou seja, JavaScript. Embora os navegadores modernos protejam o JavaScript de modo que ele possa executar operações de arquivo apenas em / tmp, o JavaScript ainda pode tirar proveito das vulnerabilidades reais do próprio navegador. Em alguns casos, isso pode ser até explorações em navegadores corrigidos (comumente conhecidos como exploração de 0 dias), embora esses incidentes sejam raros.

00112358123
fonte