Nedávno jsem při kontrolování návštěvnosti našich serverů na Navrcholu narazil na zajímavou stránku Hry Zdarma, která se objevila z ničeho nic a okamžitě vyšplhala na první místa žebříčku návštěvnosti ve své kategorii díky herchtivým Američanům. Příčinou byl fakt, že nabízela staré hry ke stažení zdarma. I nechal jsem se zlákat a rozhodl se také si nějakou stáhnout. Autor stránek ovšem neumožňoval klasický download, bylo nutné nainstalovat si nejprve jeho prográmek, do něj vložit kód a až pomocí něj jste se dostali k souboru.
Byl víkend a já porušil první zásadu internetu: nikomu nevěř. Já uvěřil textu, v němž se píše: Program slouží jako částečná ochrana před tzv. krádeží odkazů z našeho webu… Po zadání kódu, výběru adresáře a stisknutí tlačítka "Download It!" program zkontaktuje náš server a zjistí, jaký soubor má stáhnout, odkud, a jakým způsobem. Následně požadovaný soubor stáhne a uloží… Program nedělá nic víc, než je uvedeno výše. Program nemá vestavěné žádné trojské koně, viry, spyware, adware, či podobné záležitosti.
Program jsem si uložil na počítač, nainstaloval a pokusil se stáhnout nějaké hry. Bohužel ani jeden z mnou vybraných titulů nebyl na serveru nalezen. Jestli to byla náhoda či záměr těžko spekulovat, každopádně jsem ze stránek odešel a zapomněl. Až do středy. Ve středu odpoledne jsem navštívil nejmenovaný internetový obchod s hrami. Chvíli jsem surfoval po jeho stránkách, abych zjistil ceny, provozovatele atp. a poté jsem odešel na poradu. Když jsem se vrátil, začal jsem zjišťovat novinky na serverech a v tu chvíli na mě začaly vyskakovat pop-up okna s reklamou onoho internetové obchodu. Pochopitelně mě to pořádně vytočilo, nic jsem si z něj totiž nestahoval, neinstaloval, navíc ty bannery byly přes celou stránku a nešly vypnout – pokud jsem tak učinil, při načtení jakékoliv další stránky vyskočily znova. Nebyla jiná šance, volal jsem provozovatelům příslušného obchodu, ti ale tvrdili, že o ničem nevědí a že o něčem podobném slyší poprvé.
Vzdal jsem to a vyrazil domů s tím, že se třeba po restartu problém opakovat nebude. Doma jsem připojil notebook k síti, spustil prohlížeč a hle, problém tu byl zase. Prošel jsem registry, nenašel jsem nic podezřelého. Vymazal jsem historii, cookies, temporary internet files, pořád nepomohlo. Přeinstaloval jsem MS Internet Explorer, nainstaloval všemožné service packy, které jsou dostupné na stránkách Microsoftu, nepomohlo. Zoufalý jsem svůj problém popsal několika známým po ICQ. I přišla rada od Honzy Březiny, který doporučil nainstalovat Ad-Aware program odchytávající ze sítě spyware, adware a další podobné smetí (více o problematice v tomto článku). Učinil jsem tak, pročistil disk, program našel jeden podezřelý software a hned ho eliminoval. Šťastný jsem spustil Explorer s tím, že je mé trápení u konce, bohužel nebylo.
Protože se mi chyba vyskytovala jen u serveru BillBoardu, řešil jsem mezitím problém ještě s Michalem Matulou, který si také nevěděl rady a s odborníkem na IT security Danem Dočekalem. Ten měl spásný nápad, abych napingoval reklamní server BillBoardu. Když jsem tak učinil, zjistil jsem, že namísto své pravé lokace ukazuje kamsi na 81.31.5.185, což je připojení u Netway registrované na Ondřeje Munčínského, autora stránek, z nichž jsem si ony staré hry stahoval. Zeditoval jsem si tedy systémový soubor Windows „hosts“, odmazal všechno, co program pro stahování her, který „nemá vestavěné žádné trojské koně, viry, spyware, adware, či podobné záležitosti“ do souboru zanesl a zavolal provozovateli obchodu, abych mu oznámil, jak jeho „obchodní partneři“ k zisku přicházejí.
A co se tedy stalo? Pan Ondřej Munčínský zabudoval do svého prográmku pro stahování nějaký spyware/backdoor. Když se ve středu dohodl s oním internetovým obchodem, že jej bude za provizi propagovat, zadal centrálně příkaz, který přesměroval nejužívanější reklamní domény na jeho adresu (81.31.5.185), která vyvolala ono vyskakovací okno s reklamou. A doufal, že si někdo klikne a nakoupí, aby vydělával na provizi. Upřímně řečeno si nemyslím, že na tom zbohatnul či teoreticky zbohatnout mohl, Každopádně poškodil renomé onoho internetového obchodu, dále pak provozovatele serverů, místo jejichž bannerů se uživateli zobrazoval prázdný bílý čtverec a v neposlední řadě uživatele, kterému vyskakovala agresivní reklama, jíž se nebylo možné zbavit. Pochybuji o tom, že obyčejný návštěvník internetu bude zjišťovat, proč a na základě čeho mu vyskakuje reklama na příslušný internetový obchod, které se nemůže zbavit – spíš se bude bát jej do budoucna navštívit, aby se jeho peripetie neopakovaly.
Co mě ale překvapilo je fakt, že podobné chování toleruje provider pana Munčínského Netway. Pochybuji o tom, že nezaznamenal zvýšený traffic na daném počítači/serveru, protože bannery měly řádově desítky kB a nemyslím si, že bych byl jediný, komu se zobrazovaly – navíc poměrně často. Vzhledem k tomu, že internetové stránky pana Munčínského mají desítky tisíc návštěvníků denně, z nichž jen hrstka bude patřit k pravidelným, troufám si odhadnout, že podobný problém mohou mít stovky lidí nejen z České republiky a na přenosech to musí být znát.
A jak se tedy bránit v případě, že patříte k poškozeným? V první řadě si nainstalovat program Ad-Aware od LavaSoftu (bližší info | stáhnout). Ten nainstalovat a pročistit si disk. Potom si na disku vyhledat soubor „hosts“ (bez přípony), zeditovat jej v notepadu a vymazat všechny doménové redirecty na dané IP (pro laiky smažete celé řádky, na nichž se bude objevovat 81.31.5.185). Následně soubor uložíte a máte vyčištěno. Jenom z bezpečnostních důvodů pak doporučuji smazat program download.exe stažený z příslušných stránek a vícekrát je nenavštívit.
Special thanx to:
Dodatek 9:00: další informace o tomto problému najdete zde na pooh.cz
Dodatek 11:00: výše zmiňované webové stránky pana Munčínského byly jeho webhosterem po oznámení problému promptně odstaveny. Tento bleskový zásah providera lze jedině ocenit.
Dodatek 12:30: Je Ondřej Munčínský opravdu tak hloupý a nechápe své počínání? Asi ano, viz. rozhovor s ním
Dodatek 13:30: Kontaktoval nás Martin Semrád ze společnosti Netway s informací o tom, že zablokovali veškerý provoz z IP adresy, na kterou směřoval trojský kůň Ondřeje Munčínského. "Nutno říci, že ve statistikách jsme si toho problému nevšimli, neboť datový přenos nebyl nad průměrem ostatních, u nás hostovaných webů," vysvětlil Semrád.
