O całej sprawie poinformowali właśnie pracownicy specjalizującej się w bezpieczeństwie informatycznym firmy ScanSafe. "Pierwsze złośliwe reklamy pojawiły się najprawdopodobniej już w sobotę - przestępcy w jakiś sposób zdołali wprowadzić je do trzech sieci reklamowych - DoubleClick (należącej do Google), YieldManager oraz Fastclick (zarządzanej przez firmę ValueClick)" - informuje firma.

Warto dodać, że ten atak nastąpił zaledwie w tydzień po tym, ja niebezpieczne reklamy pojawiły się na stronach szacownego amerykańskiego New York Timesa. Ale Mary Landesman, specjalistka ze ScanSafe, podkreśla, że tym razem atak był znacznie groźniejszy. Na witrynie NYT pojawiły się reklamy zachęcające do instalowania fałszywego antywirusa (tzw. scareware) - użytkownik sam musiał go zainstalować w systemie. Reklamy, które wykryto w miniony weekend były znacznie bardziej skomplikowane - same próbowały instalować w systemie złośliwy kod (konia trojańskiego Win32/Alureon).

Internautom, którzy odwiedzili w miniony weekend jedną z powyższych stron wyświetlany był przezroczysty (i praktycznie niewidoczny) banner reklamy, zawierający osadzony dokument PDF. Plik ten był zmodyfikowany tak, by wykorzystywać jeden z niedawno wykrytych błędów w zabezpieczeniach Adobe Readera (najpopularniejszego czytnika plików PDF) - jeśli ów dokument się załadował, a użytkownik korzystał z podatnej na atak wersji Readera, to w systemie instalowały był "szkodnik". Przedstawicielka ScanSafe dodaje, że przestępcy korzystali również z innego exploita (wykorzystującego lukę w oprogramowaniu DirectShow Microsoftu) - ale takie ataki były znacznie rzadsze.

Nie wiadomo dokładnie, co w systemie miał robić ów koń trojański - przestępcy wykorzystują go zwykle do zainstalowania w zainfekowanych systemów dodatkowych złośliwych programów (zwykle tzw. botwormów, czyli szkodników zmieniających komputer w element botnetu). Szkodnik jest niebezpieczny głównie dlatego, że potrafi świetnie ukrywać się przed aplikacjami antywirusowymi - tylko niektóre z nich są w stanie go wykryć. Z testów przeprowadzonych przez Scan Safe wynika, że jedynie 3 z 41 popularnych skanerów AV potrafią wykryć i zablokować tego trojana (dodajmy, że firma nie oferuje takiego produktu).

"Od soboty do poniedziałku aż 11% zablokowanych przez nasze oprogramowanie stron WWW stanowiły właśnie witryny z opisaną powyżej złośliwą reklamą - a to znaczy, że była ona masowo wyświetlana w Internecie. Warto dodać, że przestępcy działali bardzo sprytnie - co kilka godzin nieznacznie modyfikowali ów plik PDF, co znacznie utrudniało producentom antywirusów przygotowanie odpowiednich sygnatur" - mówi Landesman.

"Trzeba przyznać, że osoba (lub osoby), która przeprowadziła tę operację, wszystko świetnie zaplanowała. Wybrała odpowiednie strony WWW i znakomicie dobrała "szkodnika", który osadzony został w reklamach. Mało brakowało, a cały atak przeszedłby zupełnie niezauważony" - komentuje przedstawicielka ScanSafe.