ВКонтакте предлагает обновить Google Chrome - Информационная безопасность - Cтатьи - Stas'M Corp.
Stas'M Corp.
Главная | Cтатьи | Регистрация | Вход
 
Суббота, 03.12.2016, 22:46
Приветствую Вас Гость | RSS
| ENG | RUS
Форма входа

Информация о тебе:

IP-адрес: 54.161.208.7
Браузер: Неизвестен
Основные разделы
Мини-чат
Loading Загрузка сообщений...
Наш опрос
Каким поисковиком пользуетесь?

Всего ответов: 388
Главная » Статьи » Информационная безопасность

ВКонтакте предлагает обновить Google Chrome
Сегодня мне в социальной сети "В Контакте" неожиданно пришло всплывающее оповещение о том, что мой браузер Google Chrome устарел, и что его необходимо немедленно обновить. Но я то знаю, что у меня последняя версия :)


Оповещение циклически скрывалось и появлялось, до тех пор, пока я на него не кликнул. В результате в новой вкладке открылся сайт chrome-update.net.



Судя по названию, этот сайт не принадлежит компании Google, в чём я также убедился, запросив whois информацию о хосте.

Domain Name: CHROME-UPDATE.NET
Registrar: EVOPLUS LTD
Whois Server: whois.evonames.com
Referral URL: http://www.evonames.com
Name Server: NS1.FREEDNS.WS
Name Server: NS2.FREEDNS.WS
Status: ok
Updated Date: 20-apr-2012
Creation Date: 20-apr-2012
Expiration Date: 20-apr-2013

Как видите, домен был создан вчера, и будет действителен в течение года. Он ссылается на IP-адрес 188.130.251.11.
Информация об IP-адресе 188.130.251.11:

inetnum: 188.130.251.0 - 188.130.251.255
netname: VK-NET
descr: Vadim Kyrilovich
country: UA
admin-c: VK2193-RIPE
tech-c: VK2193-RIPE
remarks:
remarks: spam issues should be reported to abuse.vknet@gmail.com
remarks:
status: SUB-ALLOCATED PA
mnt-by: MNT-NETART
mnt-domains: MNT-VK
source: RIPE # Filtered

person: Vadim Kyrilovich
address: Rozhishe, Ukraine
address: Ivan Franko str., 13
phone: +380993001045
nic-hdl: VK2193-RIPE
mnt-by: MNT-VK
source: RIPE # Filtered

% Information related to '188.130.251.0/24AS56872'

route: 188.130.251.0/24
descr: VK-NET
origin: AS56872
mnt-by: MNT-NETART
source: RIPE # Filtered

Насколько мы знаем, фирма ВКонтакте расположена в России, Санкт-Петербурге, и никак не на Украине.
Целый сегмент IPv4 зарегистрирован на некого Вадима Кирилловича. И почтовый адрес отнюдь не вконтактный: abuse.vknet@gmail.com
Вполне возможно, что за всем этим стоит какая-то хакерская группировка. Хотя может и один человек.

Далее, исследуем, откуда берётся сие чудесное окошко всплывающего оповещения.
Смотрим код страницы в реальном времени (Ctrl+Shift+I):



Как видите, тут замешан какой-то непонятный сайт abrakadabra2012.ru, который с контактом никак не связан.
После выяснилось, что abrakadabra2012.ru также ссылается на IP-адрес 188.130.251.11, на который ссылался предыдущий домен.
Далее, я решил протрассировать, каким макаром этот HTML код попадает на все страницы вконтакте. Просмотр исходного кода страницы (Ctrl+U) ничего не дал. Мониторинг при помощи Charles тоже не дал показаний, ни одного совпадения с текстом "abrakadabra2012.ru" в запросах и ответах сервера контакта найдено не было.



Также я обратил внимание, что утилита командной строки ping неправильно преобразует доменные имена в IP-адресы. Вполне возможно, что я заразился каким-то DNS вирусом, но в настройках сети DNS изменён не был. С других компьютеров моей сети разрешение DNS имён проходило нормально, следовательно с маршрутизатором всё в порядке.



Помогла перезагрузка системы, что для меня было весьма неожиданно. Но на этом оповещения вконтакте не исчезли. Тогда мой взгляд пал на расширения гугла хрома. У меня было установлено расширение VKontakte Tools 4.0.0.1:


И действительно, после как я отключил это расширение и обновил страницу вконтакте, эти оповещения наконец-то исчезли, ура! Порой причина кроется буквально у нас под носом, а мы не замечаем её. Ведь создатели подобных расширений - это всего лишь программисты любители, а не официальные разработчики вконтакте.
У меня есть предположение, что разработчику данного расширения предложили приличную сумму денег какая-нибудь группировка вымогателей, чтобы он добавил эти всплывающие оповещения на страницы вконтакте для тех, у кого установлено это расширение. Продажные программисты... Как можно догадаться, при скачивании сторонней сборки хрома с сайта chrome-update.net, мы получаем хакерскую сборку Chrome, собирающую все наши дорогие пароли, плюс бэкдор в нашу любимую систему aka боевую нагрузку.

Исследование проводил Stas'M
Желаю Вам не попадаться на подобные уловки. Удачи!
Категория: Информационная безопасность | Добавил: Administrator (21.04.2012) | Автор: Stas'M Corp.
Просмотров: 3192 | Теги: хакеры, бэкдор, украина, DNS, обновление, charles, Google Chrome, вконтакте, Update, вирус | Рейтинг: 4.0/1
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Веб приложения
Категории раздела
Корпоративный кооператив [12]
Юмор [4]
Смешные истории из жизни корпорации
Хорошие новости от Евгения [14]
Юмористический журнал
Информационная безопасность [16]
История [2]
Рецензии и обсуждения [2]
Пожертвование / Donate
WMWebMoney transferZ358077191062
WMWebMoney transferE208225402366
WMWebMoney transferR303537803958
WMWebMoney transferB345247247920
Reg.ruReg.ru transfer9900126333
WUWestern Union transferuse feedback form
BTCBitcoin transferuse feedback form
Друзья сайта

Просим вас посещать сайты наших друзей! Они достойны такого же внимания как и мы!

Пользователи
Онлайн всего: 1
Гостей: 1
Пользователей: 0

Пользователи онлайн:
Статистика
Рейтинг@Mail.ru
Проект ReactOS

Copyright © Stas'M Corp. 2016Хостинг от uCoz