Jak zbohatnout a naštvat tisíce lidí, aneb Spy-Ware po Česku

Člověk by řekl, že na českých serverech se s nepříjemným spy-ware/ad-ware nesetká. Pokud byste tomu ovšem věřili, mýlili byste se stejně jako já. Namísto her zdarma jsem si do počítače dostal nebezpečný prográmek, který ze surfování internetem udělal doslova peklo. O co šlo a jak se toho můžete zbavit?

Nedávno jsem při kontrolování návštěvnosti našich serverů na Navrcholu narazil na zajímavou stránku Hry Zdarma, která se objevila z ničeho nic a okamžitě vyšplhala na první místa žebříčku návštěvnosti ve své kategorii díky herchtivým Američanům. Příčinou byl fakt, že nabízela staré hry ke stažení zdarma. I nechal jsem se zlákat a rozhodl se také si nějakou stáhnout. Autor stránek ovšem neumožňoval klasický download, bylo nutné nainstalovat si nejprve jeho prográmek, do něj vložit kód a až pomocí něj jste se dostali k souboru.

Byl víkend a já porušil první zásadu internetu: nikomu nevěř. Já uvěřil textu, v němž se píše: Program slouží jako částečná ochrana před tzv. krádeží odkazů z našeho webu… Po zadání kódu, výběru adresáře a stisknutí tlačítka "Download It!" program zkontaktuje náš server a zjistí, jaký soubor má stáhnout, odkud, a jakým způsobem. Následně požadovaný soubor stáhne a uloží… Program nedělá nic víc, než je uvedeno výše. Program nemá vestavěné žádné trojské koně, viry, spyware, adware, či podobné záležitosti.

Program jsem si uložil na počítač, nainstaloval a pokusil se stáhnout nějaké hry. Bohužel ani jeden z mnou vybraných titulů nebyl na serveru nalezen. Jestli to byla náhoda či záměr těžko spekulovat, každopádně jsem ze stránek odešel a zapomněl. Až do středy. Ve středu odpoledne jsem navštívil nejmenovaný internetový obchod s hrami. Chvíli jsem surfoval po jeho stránkách, abych zjistil ceny, provozovatele atp. a poté jsem odešel na poradu. Když jsem se vrátil, začal jsem zjišťovat novinky na serverech a v tu chvíli na mě začaly vyskakovat pop-up okna s reklamou onoho internetové obchodu. Pochopitelně mě to pořádně vytočilo, nic jsem si z něj totiž nestahoval, neinstaloval, navíc ty bannery byly přes celou stránku a nešly vypnout – pokud jsem tak učinil, při načtení jakékoliv další stránky vyskočily znova. Nebyla jiná šance, volal jsem provozovatelům příslušného obchodu, ti ale tvrdili, že o ničem nevědí a že o něčem podobném slyší poprvé.

Vzdal jsem to a vyrazil domů s tím, že se třeba po restartu problém opakovat nebude. Doma jsem připojil notebook k síti, spustil prohlížeč a hle, problém tu byl zase. Prošel jsem registry, nenašel jsem nic podezřelého. Vymazal jsem historii, cookies, temporary internet files, pořád nepomohlo. Přeinstaloval jsem MS Internet Explorer, nainstaloval všemožné service packy, které jsou dostupné na stránkách Microsoftu, nepomohlo. Zoufalý jsem svůj problém popsal několika známým po ICQ. I přišla rada od Honzy Březiny, který doporučil nainstalovat Ad-Aware program odchytávající ze sítě spyware, adware a další podobné smetí (více o problematice v tomto článku). Učinil jsem tak, pročistil disk, program našel jeden podezřelý software a hned ho eliminoval. Šťastný jsem spustil Explorer s tím, že je mé trápení u konce, bohužel nebylo.

Spyware po Česku   Spyware po Česku

Protože se mi chyba vyskytovala jen u serveru BillBoardu, řešil jsem mezitím problém ještě s Michalem Matulou, který si také nevěděl rady a s odborníkem na IT security Danem Dočekalem. Ten měl spásný nápad, abych napingoval reklamní server BillBoardu. Když jsem tak učinil, zjistil jsem, že namísto své pravé lokace ukazuje kamsi na 81.31.5.185, což je připojení u Netway registrované na Ondřeje Munčínského, autora stránek, z nichž jsem si ony staré hry stahoval. Zeditoval jsem si tedy systémový soubor Windows „hosts“, odmazal všechno, co program pro stahování her, který „nemá vestavěné žádné trojské koně, viry, spyware, adware, či podobné záležitosti“ do souboru zanesl a zavolal provozovateli obchodu, abych mu oznámil, jak jeho „obchodní partneři“ k zisku přicházejí.

A co se tedy stalo? Pan Ondřej Munčínský zabudoval do svého prográmku pro stahování nějaký spyware/backdoor. Když se ve středu dohodl s oním internetovým obchodem, že jej bude za provizi propagovat, zadal centrálně příkaz, který přesměroval nejužívanější reklamní domény na jeho adresu (81.31.5.185), která vyvolala ono vyskakovací okno s reklamou. A doufal, že si někdo klikne a nakoupí, aby vydělával na provizi. Upřímně řečeno si nemyslím, že na tom zbohatnul či teoreticky zbohatnout mohl, Každopádně poškodil renomé onoho internetového obchodu, dále pak provozovatele serverů, místo jejichž bannerů se uživateli zobrazoval prázdný bílý čtverec a v neposlední řadě uživatele, kterému vyskakovala agresivní reklama, jíž se nebylo možné zbavit. Pochybuji o tom, že obyčejný návštěvník internetu bude zjišťovat, proč a na základě čeho mu vyskakuje reklama na příslušný internetový obchod, které se nemůže zbavit – spíš se bude bát jej do budoucna navštívit, aby se jeho peripetie neopakovaly.

Co mě ale překvapilo je fakt, že podobné chování toleruje provider pana Munčínského Netway. Pochybuji o tom, že nezaznamenal zvýšený traffic na daném počítači/serveru, protože bannery měly řádově desítky kB a nemyslím si, že bych byl jediný, komu se zobrazovaly – navíc poměrně často. Vzhledem k tomu, že internetové stránky pana Munčínského mají desítky tisíc návštěvníků denně, z nichž jen hrstka bude patřit k pravidelným, troufám si odhadnout, že podobný problém mohou mít stovky lidí nejen z České republiky a na přenosech to musí být znát.

A jak se tedy bránit v případě, že patříte k poškozeným? V první řadě si nainstalovat program Ad-Aware od LavaSoftu (bližší info | stáhnout). Ten nainstalovat a pročistit si disk. Potom si na disku vyhledat soubor „hosts“ (bez přípony), zeditovat jej v notepadu a vymazat všechny doménové redirecty na dané IP (pro laiky smažete celé řádky, na nichž se bude objevovat 81.31.5.185). Následně soubor uložíte a máte vyčištěno. Jenom z bezpečnostních důvodů pak doporučuji smazat program download.exe stažený z příslušných stránek a vícekrát je nenavštívit.

Special thanx to:

  • Ondřejovi Munčínskému (games@mosw.com) za originální pětihodinovou nervydrásající detektivku
  • Provozovatelům internetového obchodu za spolupráci
  • Danovi Dočekalovi z POOH.cz, Honzovi Březinovi z Grafika.cz a Michalovi Matulovi z BillBoard.cz za pomoc při zjišťování a odstraňování problému

    Dodatek 9:00: další informace o tomto problému najdete zde na pooh.cz
    Dodatek 11:00: výše zmiňované webové stránky pana Munčínského byly jeho webhosterem po oznámení problému promptně odstaveny. Tento bleskový zásah providera lze jedině ocenit.
    Dodatek 12:30: Je Ondřej Munčínský opravdu tak hloupý a nechápe své počínání? Asi ano, viz. rozhovor s ním
    Dodatek 13:30: Kontaktoval nás Martin Semrád ze společnosti Netway s informací o tom, že zablokovali veškerý provoz z IP adresy, na kterou směřoval trojský kůň Ondřeje Munčínského. "Nutno říci, že ve statistikách jsme si toho problému nevšimli, neboť datový přenos nebyl nad průměrem ostatních, u nás hostovaných webů," vysvětlil Semrád.

    • Nejčtenější

    Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

    v diskusi je 125 příspěvků

    26. března 2024

    S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

    Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

    v diskusi je 76 příspěvků

    27. března 2024

    Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

    {NADPIS reklamního článku dlouhý přes dva řádky}

    {POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

    Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

    v diskusi je 45 příspěvků

    28. března 2024

    Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

    Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

    v diskusi je 50 příspěvků

    21. března 2024  10:23,  aktualizováno  14:26

    Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

    {NADPIS reklamního článku dlouhý přes dva řádky}

    {POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

    Američané odepsali modul, který je vrátil po půl století na Měsíc

    v diskusi je 22 příspěvků

    28. března 2024,  aktualizováno  11:41

    Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

    Za vyhynutím dinosaurům mohla být i doba temna

    v diskusi nejsou příspěvky

    29. března 2024

    Dopad planetky je nyní většinou odborníků považován za hlavní příčinu vyhynutí zhruba 73 až 76 %...

    Podívejte se na Boeing C-17 Globemaster, který do Česka přivezl nové vrtulníky

    v diskusi jsou 2 příspěvky

    29. března 2024

    V sobotu 23. března dosedl v Praze nákladní letoun USAF, který vezl obzvlášť cenný náklad. Z...

    Dočasná raketa se po téměř 70 letech loučí. Bude startovat naposledy

    v diskusi jsou 4 příspěvky

    28. března 2024  15:36,  aktualizováno  19:54

    Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

    Američané odepsali modul, který je vrátil po půl století na Měsíc

    v diskusi je 22 příspěvků

    28. března 2024,  aktualizováno  11:41

    Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

    Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

    Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

    Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

    Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

    Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

    Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

    Velikonoce 2024: Na Velký pátek bude otevřeno, v pondělí obchody zavřou

    Otevírací doba v obchodech se řídí zákonem, který nařizuje, že obchody s plochou nad 200 čtverečních metrů musí mít...

    Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

    S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...