Páginas

Pesquisar

19 de mar. de 2011

Cuidado com Invasões de Vírus através do Google Images!

O que pode acontecer de mal quando você está atrás de imagens interessantes e impressionantes?
Este post tem um caráter educativo, pois esmiúça um problema que acontece frequentemente quando o internauta está procurando fotos no Google Images, mesmo com o SafeSearch ligado em modo "moderado". Eventualmente, quando o usuário aperta no preview de uma foto qualquer, pode ser redirecionado automaticamente para um site malicioso que dispara uma rotina de infecção por malwares.

Pela segunda vez caí num redirecionamento malicioso* para o mesmo vírus do tipo Rogue (programa antivírus falso) chamado System Defender. Desta feita, eu estava procurando a palavra "bomb" no Google Images e obtive a seguinte tela de resultados - a imagem com o círculo vermelho continha o redirecionamento:
Resultados do Google Images

Depois que apertei em cima da foto para ver o preview, apareceu a seguinte mensagem de erro:
Mensagem de erro do virus rogue System Defender

Depois que você tenta fechar a janela da mensagem, o link malicioso dispara uma falsa rotina de escaneamento:
Tela de scan do virus rogue System Defender

Em pouco mais de um minuto é exibida a mensagem que comunica os "problemas" encontrados no computador e recomenda a instalação de um software específico para proceder a limpeza:
Mensagem de scan do virus rogue System Defender

Quando você fecha a mensagem acima, aparece a tela listando os "resultados" finais do falso escaneamento e o botão convidativo "Start Protection" que faz o download do System Defender:
Resultados de scan do virus rogue System Defender

Quando você tenta fechar a janela com os resultados dos vírus encontrados, o site malicioso aciona o download do programa malicioso. Se o seu Browser não está configurado para fazer downloados automaticamente (recomendável), aparece a seguinte mensagem do navegador:

Este tipo de arquivo pode danificar o seu computador. Tem certeza de que deseja fazer download de InstallSystemDefender_042.exe?

Claro, se você acompanhou o raciocínio até aqui, sabe que este software não pode ser baixado e nem instalado de jeito nenhum pois é um programa altamente nocivo para o seu computador. Assim, cancelando o download, não acontece dano algum ao sistema, pelo menos especificamente com o vírus System Defender.

Caso você já tenha instalado o System Defender sem saber de que se tratava de um malware, para se livrar dele basta baixar e instalar o MalwareBytes e executar a limpeza.

Se você quiser fazer uma caridade para o tio Google e denunciar o redirecionamento malicioso encontrado nos resultados do Google Images, denuncie o link na página própria para isto:
Report malicious software.

* Aspecto do link malicioso: só a título de demonstração, transcrevo aqui o link malicioso anexo ao preview da foto consultada na dia 18/03/2011. Raramente estes links duram mais do que um dia ou dois, pois no dia seguinte ele já havia sido eliminado dos resultados do Google Images, inclusive, deixou de existir na internet.
http://www.documentingreality.com/forum/attachments/f149/74311d1248366199-hiroshima-atomic-bomb-survivor-charonboat_dot_com_hiroshima_victim.jpg&imgrefurl=http://accaud.com/servings-download-book-the-bodyguard-s-story-diana-the-crash-and-the-sole-survivor-wiki/&usg=__BhEJKKrJ48szLHaFvveizIMULtk=&h=890&w=1056&sz=584&hl=pt-br&start=0&sig2=ezyxkH2Pzg9JOOCT17qsqw&zoom=1&tbnid=1Myl1PlS9jx_dM:&tbnh=134&tbnw=158&ei=Ec2DTajVOsSftwewjbXYBA&prev=/images%3Fq%3Dbomb%26hl%3Dpt-br%26biw%3D1656%26bih%3D897%26gbv%3D2%26tbs%3Disch:1&itbs=1&iact=hc&vpx=862&vpy=400&dur=358&hovh=206&hovw=245&tx=125&ty=107&oei=Ec2DTajVOsSftwewjbXYBA&page=1&ndsp=45&ved=1t:429,r:23,s:0

19 comentários:

  1. Pesquiso imagens diariamente e uso o Opera. O safesearch fica desativado. Até o momento, não vi sinal de malware. Seria bom investigar se essa é uma falha do Chrome.

    Curioso, pesquisei "bomb" no google images e encontrei a mesma foto desse ser estranho que vc circulou. Cliquei e fui direcionado a um tal Bakati ponto com. Nada de malware.

    ResponderExcluir
  2. Provavelmente este redirecionamento funcione só como o Chrome, mas hoje pesquisei a mesma foto e o link tinha sumido. Um sujeito do facebook fez o teste e constatou o redirecionamento.
    Em vários fóruns internacionais de segurança, inclusive no fórum do Google, há relatos de propagação de malwares via Google Images.

    ResponderExcluir
  3. Não me lembro de ter passado por isso procurando por imagens, mas ficarei mais atenta.

    ResponderExcluir
  4. Isso so redirecona com o chrome .
    usei o firefox nao acontece nada

    ResponderExcluir
  5. procurei lucas dalcin no google images e nao deu em nada.

    ResponderExcluir
  6. Quando acontecer algo assim... utilize o gerenciador e finalize o navegador! ;)

    ResponderExcluir
  7. TESTEI NO CHROME E NAO ACONTECEU NADA, ACREDITO Q A INFECCAO JA ESTEJA NO SEU COMPUTADOR, E O LINK SEJA MERA COICIDENCIA, O SIMPLES ACESSOA INTERNET JA TE FEZ VAIXAR OS MAWARES, E O QUE ACONTECEU FOI O CHROME BLOQUEAR O SUE ACESSO VIA NAVEGADOR A PAGINAS DA WEB POIS VOCE JA ESTAVA INFECTADO.

    INVESTIGUE MEHOR ISSO

    ResponderExcluir
  8. Nilson Lima,
    a atuação dos crackers através da internet é extremamente volátil, pois normalmente os links maliciosos perduram 1 dia, no máximo 2, e já são detectados e eliminados pelos webmasters ou bloqueados pelos sites de controle tais como o SiteAdvisor da McAfee, Safeweb do Norton, Google e outros.
    Por isto, coloquei o link malicioso apenas a título de exemplo, pois, logicamente, no outro dia ele já tinha parado de funcionar.

    ResponderExcluir
  9. E porque você tava procurando bomb? :O

    ResponderExcluir
  10. Eu precisava da imagem de uma bomba para colar em cima da imagem de um teclado de piano, para ilustrar o post que eu estava escrevendo.
    É interessante notar que os criminosos usam palavras-chave que indexam imagens bem chamativas e bizarras.

    ResponderExcluir
  11. Isso aconteceu comigo..

    ResponderExcluir
  12. ahahahaha

    Dono do blog vc se fuuu

    Se eu fosse você mudava as senhas!

    ResponderExcluir
  13. Cara, não preciso mudar nada por enquanto, este anti-vírus fajuto precisa ser instalado para começar a funcionar, coisa que não fiz.
    Claro, outros tipos de vírus, trojans, rootkits são muito mais maliciosos.

    ResponderExcluir
  14. eu tbm ja quase peguei vírus ... digitei "ZYZZ" e cliquei na 3° ou 4° foto ...

    sorte q tinha anti virus em dia etudo mais ^^

    ResponderExcluir
  15. não, agora que eu lembrei ... ditigando "zyzz" clica na 8° foto e vai aparecer um ícone do "GMAIL" mas vc olha lá em cima e vê que o site é "http:// marketinglike . info/ TF19" aí pede pra instalar uns plugins pra página funcionar... mas é só fechar a pag q naum da nada

    ResponderExcluir
  16. Na 5ª foto do meme "zyzz" existe realmente um redirecionamento malicioso para um plugin. Veja como os caras escolhem a dedo as imagens para plantar os links, impactantes e bizarras, neste caso, um cara saradão com cara de idiota vestindo o maiô estilo Borat.

    ResponderExcluir
  17. Hoje, 30/04/11 acabei instalando um desses virus, não sei o que fazer para elimina-lo. Estava no google imagens procurando fotos de um avião de nome "antonov" quando cliquei na foto já foi instalando esse antivirus malicioso, (Antivirus Center). Alguem me ajuda. Obrigado.

    ResponderExcluir
  18. Anônimo, estes programas chantageadores são fáceis de remover. Instale o Malwarebytes (link no texto) e este programa anti-spyware fará a remoção.

    ResponderExcluir