Hizo clic en el anuncio falso "¡Descargar ahora!" en el sitio de transferencia de archivos (archivo legal con fines legítimos) por accidente; ¿Alguien sabe qué medidas debo tomar?

4

Un compañero de trabajo me envió un archivo a través de "sendshare", la primera vez que uso el servicio. La página se cargó un poco lentamente y los anuncios llegaron antes del enlace de descarga real. Tenía prisa por obtener el archivo (era un trabajo sensible al tiempo) y terminé haciendo clic en el anuncio diseñado engañosamente en la parte superior de la página en lugar del botón de descarga. Me llevó a una página que tenía el mismo aspecto que la página de descarga pero sin logotipo y la misma "descarga ahora falsa". enlace en la parte superior. Mis hackles subieron y cerré la pestaña antes de volver a hacer clic.

Regresé a la página, me di cuenta de mi error, obtuve el archivo real y completé el trabajo. Después, abrí la misma página en mi máquina Linux, fui a la página estafa y guardé la fuente para examinarla. Fue una PARED de javascript que no puedo hacer cara ni cola.

Me gustaría incluirlo aquí para que la gente pueda verlo y quizás decirme qué debo buscar en mi sistema (estoy ejecutando Security Essentials mientras hablamos; AVG acaba de terminar; MalwareBytes es el siguiente en la cubierta ) o en línea para reducir mi exposición, pero es tan grande que no quiero abrumar a las personas ni al sistema de Stackoverflow. En ese momento inicié sesión en Gmail, no en Facebook, así que no sé si necesito cambiar alguna contraseña (ya utilizo la verificación de dos pasos en Gmail) o no.

    
pregunta StormShadow 16.05.2012 - 06:40
fuente

5 respuestas

2

lo que más arriesgas es un código malicioso almacenado. Por lo tanto, la limpieza de las contramedidas que está haciendo es bastante buena en caso de que el código malicioso ya se haya ejecutado y replicado. Si aún no se ejecutó, borre todos los datos almacenados en su navegador que lo protejan. Ahora, como una precaución para el futuro, debe instalar un navegador, CUALQUIER IMO de navegador, solo por el hecho de abrir páginas no confiables. ¿Por qué es eso bueno? simple: el navegador para páginas maliciosas tendrá su propio mecanismo de sandbox y gracias a la Política de Same Origin y otras medidas, el código nunca / nunca podrá salir de ese sandbox.

Por el bien del código que presentó,

ch.frameBorder = ch.width = ch.height = 0

Supongo que hay una creación de un iFrame con ancho y alto 0, si hubiera sido el atacante, asumo que se crearía para clickjacking;) -

    
respondido por el smiley 16.05.2012 - 07:48
fuente
4

Parece que el código Javascript que compartiste con nosotros es .... jQuery ! :) Esa es también una razón por la que es tan largo.

Bueno, se ha minimizado, por lo que es horrible de leer, pero no entendía por qué un posible exploit estaba jugando con todo: elementos de forma, css, dom, etc. Pero como es jQuery, lo explica todo. (solo busque en google con alguna línea de js y encontrará la fuente minima de jQuery).

Ahora, no puedo garantizar que el código que no pudiste pegar fue una verdadera hazaña, PERO no lo creo.

El motivo es simple: es por el bien del negocio de sendshare garantizar que los usuarios regresen y quizás usen la versión de pago de su sistema. Si le envían anuncios que contienen virus, esto se sabrá y no será bueno para su negocio.

Ahora, nunca estamos muy seguros, y te iba a decir que revisaras tu máquina en caso de que estuvieras infectada, pero ya lo estás haciendo, eso es bueno :)

Además, ya que sabe de dónde proviene el anuncio, puede buscar el nombre de la empresa publicitaria en google y ver si otros usuarios han reportado códigos maliciosos en su página. Le ayudará a saber si está posiblemente infectado o no.

Estoy seguro de que estarás bien y AVG / MalwareBytes no encontrará ningún virus relacionado con esta experiencia :)

Actualización: solo una actualización divertida sobre BBC - The Documentary , que publica un video de 3 episodios sobre ... " Peligro en la descarga ".

    
respondido por el Cyril N. 16.05.2012 - 07:46
fuente
3

Primero que nada: no hiciste nada malo. No te castigues a ti mismo. Las computadoras deberían estar seguras en esta situación. El simple hecho de hacer clic en un anuncio no debería ser suficiente para dejar su computadora con un virus paralizante. El hecho de que las computadoras de hoy no siempre cumplan con este estándar es una mala reflexión sobre nosotros, los científicos en computación.

Ahora, a su pregunta. ¿Qué debes hacer? Personalmente, no haría nada. Yo no me preocuparía por eso. Si bien es teóricamente posible que hayas podido infectarte, creo que el riesgo de una instancia como esta no es muy alto, y probablemente estés expuesto a este tipo de riesgo todo el tiempo. Así que no me estresaría por esta situación. Es un "oops, tal vez no debería haber hecho eso, supongo que no lo haré otra vez" tipo de situación.

Si está preocupado, sí, puede hacer un análisis completo de todo su disco duro con su software antivirus favorito y con MalwareBytes. Aunque está lejos de ser perfecto, debería ser razonablemente eficaz para encontrar la mayoría de los tipos de malware.

Francamente, la mejor manera de protegerse contra las cosas malas que le suceden en este tipo de situaciones requiere que sea proactivo. "Una onza de prevención vale una libra de curación", y eso es definitivamente cierto en el ámbito de la seguridad informática. Si desea saber cómo puede protegerse en el futuro, le recomiendo seguir unos simples pasos: active las actualizaciones automáticas, use antivirus, configure copias de seguridad automáticas, desinstale Java, no escriba contraseñas o información personal en un sitio, a menos que haya ido allí haciendo clic en un marcador o escribiendo en la barra de direcciones, use el administrador de contraseñas de su navegador. Si desea ir un paso más allá, puede instalar Secunia PSI, para ayudarlo a garantizar que todo su software se mantenga actualizado.

    
respondido por el D.W. 16.05.2012 - 19:22
fuente
2

Estabas preguntando qué medidas tomar y, aparte de escanear y limpiar, el mejor consejo que puedo darte es instalar AdBlock Plus (o similar). Los complementos de Adblocking mantendrán alejado el 99% de los botones de descarga falsos, los anuncios de youtube, etc., por lo que, en mi opinión, tiene beneficios en términos de seguridad y placer de navegación.

Además, como mencionó Martinstoeckli, noscript es excelente para la seguridad, pero puede ser demasiado tedioso dependiendo de lo determinado que esté. Sin embargo, sigue siendo muy recomendable.

    
respondido por el Cbeppe 23.05.2012 - 00:23
fuente
1

Solo una idea de último momento, porque estoy seguro de que volverás a encontrar esta situación. Familiarícese con un bloqueador de secuencias de comandos como noscript y cada vez que tenga un mal presentimiento sobre un enlace, puede desactivar javascript y consultar el página. Enumera los orígenes de todos los scripts y anuncios, y puedes decidir en cuáles quieres confiar, o abandonar el sitio antes de que se produzcan daños.

    
respondido por el martinstoeckli 17.05.2012 - 22:40
fuente

Lea otras preguntas en las etiquetas