Jak zbohatnout a naštvat tisíce lidí, aneb Spy-Ware po Česku

aktualizováno 
Člověk by řekl, že na českých serverech se s nepříjemným spy-ware/ad-ware nesetká. Pokud byste tomu ovšem věřili, mýlili byste se stejně jako já. Namísto her zdarma jsem si do počítače dostal nebezpečný prográmek, který ze surfování internetem udělal doslova peklo. O co šlo a jak se toho můžete zbavit?

Nedávno jsem při kontrolování návštěvnosti našich serverů na Navrcholu narazil na zajímavou stránku Hry Zdarma, která se objevila z ničeho nic a okamžitě vyšplhala na první místa žebříčku návštěvnosti ve své kategorii díky herchtivým Američanům. Příčinou byl fakt, že nabízela staré hry ke stažení zdarma. I nechal jsem se zlákat a rozhodl se také si nějakou stáhnout. Autor stránek ovšem neumožňoval klasický download, bylo nutné nainstalovat si nejprve jeho prográmek, do něj vložit kód a až pomocí něj jste se dostali k souboru.

Byl víkend a já porušil první zásadu internetu: nikomu nevěř. Já uvěřil textu, v němž se píše: Program slouží jako částečná ochrana před tzv. krádeží odkazů z našeho webu… Po zadání kódu, výběru adresáře a stisknutí tlačítka "Download It!" program zkontaktuje náš server a zjistí, jaký soubor má stáhnout, odkud, a jakým způsobem. Následně požadovaný soubor stáhne a uloží… Program nedělá nic víc, než je uvedeno výše. Program nemá vestavěné žádné trojské koně, viry, spyware, adware, či podobné záležitosti.

Program jsem si uložil na počítač, nainstaloval a pokusil se stáhnout nějaké hry. Bohužel ani jeden z mnou vybraných titulů nebyl na serveru nalezen. Jestli to byla náhoda či záměr těžko spekulovat, každopádně jsem ze stránek odešel a zapomněl. Až do středy. Ve středu odpoledne jsem navštívil nejmenovaný internetový obchod s hrami. Chvíli jsem surfoval po jeho stránkách, abych zjistil ceny, provozovatele atp. a poté jsem odešel na poradu. Když jsem se vrátil, začal jsem zjišťovat novinky na serverech a v tu chvíli na mě začaly vyskakovat pop-up okna s reklamou onoho internetové obchodu. Pochopitelně mě to pořádně vytočilo, nic jsem si z něj totiž nestahoval, neinstaloval, navíc ty bannery byly přes celou stránku a nešly vypnout – pokud jsem tak učinil, při načtení jakékoliv další stránky vyskočily znova. Nebyla jiná šance, volal jsem provozovatelům příslušného obchodu, ti ale tvrdili, že o ničem nevědí a že o něčem podobném slyší poprvé.

Vzdal jsem to a vyrazil domů s tím, že se třeba po restartu problém opakovat nebude. Doma jsem připojil notebook k síti, spustil prohlížeč a hle, problém tu byl zase. Prošel jsem registry, nenašel jsem nic podezřelého. Vymazal jsem historii, cookies, temporary internet files, pořád nepomohlo. Přeinstaloval jsem MS Internet Explorer, nainstaloval všemožné service packy, které jsou dostupné na stránkách Microsoftu, nepomohlo. Zoufalý jsem svůj problém popsal několika známým po ICQ. I přišla rada od Honzy Březiny, který doporučil nainstalovat Ad-Aware program odchytávající ze sítě spyware, adware a další podobné smetí (více o problematice v tomto článku). Učinil jsem tak, pročistil disk, program našel jeden podezřelý software a hned ho eliminoval. Šťastný jsem spustil Explorer s tím, že je mé trápení u konce, bohužel nebylo.

Spyware po Česku   Spyware po Česku

Protože se mi chyba vyskytovala jen u serveru BillBoardu, řešil jsem mezitím problém ještě s Michalem Matulou, který si také nevěděl rady a s odborníkem na IT security Danem Dočekalem. Ten měl spásný nápad, abych napingoval reklamní server BillBoardu. Když jsem tak učinil, zjistil jsem, že namísto své pravé lokace ukazuje kamsi na 81.31.5.185, což je připojení u Netway registrované na Ondřeje Munčínského, autora stránek, z nichž jsem si ony staré hry stahoval. Zeditoval jsem si tedy systémový soubor Windows „hosts“, odmazal všechno, co program pro stahování her, který „nemá vestavěné žádné trojské koně, viry, spyware, adware, či podobné záležitosti“ do souboru zanesl a zavolal provozovateli obchodu, abych mu oznámil, jak jeho „obchodní partneři“ k zisku přicházejí.

A co se tedy stalo? Pan Ondřej Munčínský zabudoval do svého prográmku pro stahování nějaký spyware/backdoor. Když se ve středu dohodl s oním internetovým obchodem, že jej bude za provizi propagovat, zadal centrálně příkaz, který přesměroval nejužívanější reklamní domény na jeho adresu (81.31.5.185), která vyvolala ono vyskakovací okno s reklamou. A doufal, že si někdo klikne a nakoupí, aby vydělával na provizi. Upřímně řečeno si nemyslím, že na tom zbohatnul či teoreticky zbohatnout mohl, Každopádně poškodil renomé onoho internetového obchodu, dále pak provozovatele serverů, místo jejichž bannerů se uživateli zobrazoval prázdný bílý čtverec a v neposlední řadě uživatele, kterému vyskakovala agresivní reklama, jíž se nebylo možné zbavit. Pochybuji o tom, že obyčejný návštěvník internetu bude zjišťovat, proč a na základě čeho mu vyskakuje reklama na příslušný internetový obchod, které se nemůže zbavit – spíš se bude bát jej do budoucna navštívit, aby se jeho peripetie neopakovaly.

Co mě ale překvapilo je fakt, že podobné chování toleruje provider pana Munčínského Netway. Pochybuji o tom, že nezaznamenal zvýšený traffic na daném počítači/serveru, protože bannery měly řádově desítky kB a nemyslím si, že bych byl jediný, komu se zobrazovaly – navíc poměrně často. Vzhledem k tomu, že internetové stránky pana Munčínského mají desítky tisíc návštěvníků denně, z nichž jen hrstka bude patřit k pravidelným, troufám si odhadnout, že podobný problém mohou mít stovky lidí nejen z České republiky a na přenosech to musí být znát.

A jak se tedy bránit v případě, že patříte k poškozeným? V první řadě si nainstalovat program Ad-Aware od LavaSoftu (bližší info | stáhnout). Ten nainstalovat a pročistit si disk. Potom si na disku vyhledat soubor „hosts“ (bez přípony), zeditovat jej v notepadu a vymazat všechny doménové redirecty na dané IP (pro laiky smažete celé řádky, na nichž se bude objevovat 81.31.5.185). Následně soubor uložíte a máte vyčištěno. Jenom z bezpečnostních důvodů pak doporučuji smazat program download.exe stažený z příslušných stránek a vícekrát je nenavštívit.

Special thanx to:

  • Ondřejovi Munčínskému (games@mosw.com) za originální pětihodinovou nervydrásající detektivku
  • Provozovatelům internetového obchodu za spolupráci
  • Danovi Dočekalovi z POOH.cz, Honzovi Březinovi z Grafika.cz a Michalovi Matulovi z BillBoard.cz za pomoc při zjišťování a odstraňování problému

    Dodatek 9:00: další informace o tomto problému najdete zde na pooh.cz
    Dodatek 11:00: výše zmiňované webové stránky pana Munčínského byly jeho webhosterem po oznámení problému promptně odstaveny. Tento bleskový zásah providera lze jedině ocenit.
    Dodatek 12:30: Je Ondřej Munčínský opravdu tak hloupý a nechápe své počínání? Asi ano, viz. rozhovor s ním
    Dodatek 13:30: Kontaktoval nás Martin Semrád ze společnosti Netway s informací o tom, že zablokovali veškerý provoz z IP adresy, na kterou směřoval trojský kůň Ondřeje Munčínského. "Nutno říci, že ve statistikách jsme si toho problému nevšimli, neboť datový přenos nebyl nad průměrem ostatních, u nás hostovaných webů," vysvětlil Semrád.

  • Nejčtenější

    Tom Cruise: Vypněte funkci vylepšení pohybu na svých televizorech

    DO KINA: Tom Cruise a Úžasňákovi budou znovu zachraňovat svět

    Tom Cruise na svém twitterovém účtu nabádá filmové fanoušky k vypnutí funkcí pro vylepšení vykreslení pohybu při...

    Vývoj evropské superstíhačky je na spadnutí. Není to příliš brzy?

    Model letounu NGF na listopadové výstavě Euronaval v Paříži

    Francouzská ministryně obrany Florence Parlyová na svém twitterovém účtu 20. listopadu oznámila dosažení shody s...

    Exekutoři varují před vakce.net. I bez objednávky hrozí exekucí

    Exekuce

    I nedokončený nákup na e-shopu s velice levným zbožím může vést k soudní exekuci. Naštěstí jen smyšlené, jak se...

    Raketa Falcon 9 neúspěšně přistála do moře, náklad ale letí dál k ISS

    Nepovedené přistání Falcon 9

    Porucha hydraulického čerpadla znemožnila přistání nosného stupně rakety Falcon 9. Přistál, či spíše spadl, do moře...

    Žádná speciální jednotka se bez něj neobejde. Zkusili jsme noční vidění

    Zkouška noktovizoru LPNVG (Low Profile Night Vision Goggle) s označením...

    Neobešlo by se bez nich ani dopadení Bin Ládina. Brýle pro noční vidění používají speciální jednotky po celém světě....

    Další z rubriky

    Netflix je v Česku podle počtu děl dražší než v Kanadě či Pákistánu

    Netflix

    Společnost Comparitech porovnala cenu Netflixu v různých zemích světa v souvislosti s šíří nabídky a v poměru k...

    Hodnota bitcoinu se propadla na nejnižší hodnotu od října 2017

    Bitcoin se v listopadu 2018 dostal na roční minimum.

    Kryptoměny v poslední době nezažívají dobrý čas. Před necelým rokem byly na svém maximu a nyní se jejich cena s menšími...

    Exekutoři varují před vakce.net. I bez objednávky hrozí exekucí

    Exekuce

    I nedokončený nákup na e-shopu s velice levným zbožím může vést k soudní exekuci. Naštěstí jen smyšlené, jak se...

    Najdete na iDNES.cz