Jak zbohatnout a naštvat tisíce lidí, aneb Spy-Ware po Česku

aktualizováno 
Člověk by řekl, že na českých serverech se s nepříjemným spy-ware/ad-ware nesetká. Pokud byste tomu ovšem věřili, mýlili byste se stejně jako já. Namísto her zdarma jsem si do počítače dostal nebezpečný prográmek, který ze surfování internetem udělal doslova peklo. O co šlo a jak se toho můžete zbavit?

Nedávno jsem při kontrolování návštěvnosti našich serverů na Navrcholu narazil na zajímavou stránku Hry Zdarma, která se objevila z ničeho nic a okamžitě vyšplhala na první místa žebříčku návštěvnosti ve své kategorii díky herchtivým Američanům. Příčinou byl fakt, že nabízela staré hry ke stažení zdarma. I nechal jsem se zlákat a rozhodl se také si nějakou stáhnout. Autor stránek ovšem neumožňoval klasický download, bylo nutné nainstalovat si nejprve jeho prográmek, do něj vložit kód a až pomocí něj jste se dostali k souboru.

Byl víkend a já porušil první zásadu internetu: nikomu nevěř. Já uvěřil textu, v němž se píše: Program slouží jako částečná ochrana před tzv. krádeží odkazů z našeho webu… Po zadání kódu, výběru adresáře a stisknutí tlačítka "Download It!" program zkontaktuje náš server a zjistí, jaký soubor má stáhnout, odkud, a jakým způsobem. Následně požadovaný soubor stáhne a uloží… Program nedělá nic víc, než je uvedeno výše. Program nemá vestavěné žádné trojské koně, viry, spyware, adware, či podobné záležitosti.

Program jsem si uložil na počítač, nainstaloval a pokusil se stáhnout nějaké hry. Bohužel ani jeden z mnou vybraných titulů nebyl na serveru nalezen. Jestli to byla náhoda či záměr těžko spekulovat, každopádně jsem ze stránek odešel a zapomněl. Až do středy. Ve středu odpoledne jsem navštívil nejmenovaný internetový obchod s hrami. Chvíli jsem surfoval po jeho stránkách, abych zjistil ceny, provozovatele atp. a poté jsem odešel na poradu. Když jsem se vrátil, začal jsem zjišťovat novinky na serverech a v tu chvíli na mě začaly vyskakovat pop-up okna s reklamou onoho internetové obchodu. Pochopitelně mě to pořádně vytočilo, nic jsem si z něj totiž nestahoval, neinstaloval, navíc ty bannery byly přes celou stránku a nešly vypnout – pokud jsem tak učinil, při načtení jakékoliv další stránky vyskočily znova. Nebyla jiná šance, volal jsem provozovatelům příslušného obchodu, ti ale tvrdili, že o ničem nevědí a že o něčem podobném slyší poprvé.

Vzdal jsem to a vyrazil domů s tím, že se třeba po restartu problém opakovat nebude. Doma jsem připojil notebook k síti, spustil prohlížeč a hle, problém tu byl zase. Prošel jsem registry, nenašel jsem nic podezřelého. Vymazal jsem historii, cookies, temporary internet files, pořád nepomohlo. Přeinstaloval jsem MS Internet Explorer, nainstaloval všemožné service packy, které jsou dostupné na stránkách Microsoftu, nepomohlo. Zoufalý jsem svůj problém popsal několika známým po ICQ. I přišla rada od Honzy Březiny, který doporučil nainstalovat Ad-Aware program odchytávající ze sítě spyware, adware a další podobné smetí (více o problematice v tomto článku). Učinil jsem tak, pročistil disk, program našel jeden podezřelý software a hned ho eliminoval. Šťastný jsem spustil Explorer s tím, že je mé trápení u konce, bohužel nebylo.

Spyware po Česku   Spyware po Česku

Protože se mi chyba vyskytovala jen u serveru BillBoardu, řešil jsem mezitím problém ještě s Michalem Matulou, který si také nevěděl rady a s odborníkem na IT security Danem Dočekalem. Ten měl spásný nápad, abych napingoval reklamní server BillBoardu. Když jsem tak učinil, zjistil jsem, že namísto své pravé lokace ukazuje kamsi na 81.31.5.185, což je připojení u Netway registrované na Ondřeje Munčínského, autora stránek, z nichž jsem si ony staré hry stahoval. Zeditoval jsem si tedy systémový soubor Windows „hosts“, odmazal všechno, co program pro stahování her, který „nemá vestavěné žádné trojské koně, viry, spyware, adware, či podobné záležitosti“ do souboru zanesl a zavolal provozovateli obchodu, abych mu oznámil, jak jeho „obchodní partneři“ k zisku přicházejí.

A co se tedy stalo? Pan Ondřej Munčínský zabudoval do svého prográmku pro stahování nějaký spyware/backdoor. Když se ve středu dohodl s oním internetovým obchodem, že jej bude za provizi propagovat, zadal centrálně příkaz, který přesměroval nejužívanější reklamní domény na jeho adresu (81.31.5.185), která vyvolala ono vyskakovací okno s reklamou. A doufal, že si někdo klikne a nakoupí, aby vydělával na provizi. Upřímně řečeno si nemyslím, že na tom zbohatnul či teoreticky zbohatnout mohl, Každopádně poškodil renomé onoho internetového obchodu, dále pak provozovatele serverů, místo jejichž bannerů se uživateli zobrazoval prázdný bílý čtverec a v neposlední řadě uživatele, kterému vyskakovala agresivní reklama, jíž se nebylo možné zbavit. Pochybuji o tom, že obyčejný návštěvník internetu bude zjišťovat, proč a na základě čeho mu vyskakuje reklama na příslušný internetový obchod, které se nemůže zbavit – spíš se bude bát jej do budoucna navštívit, aby se jeho peripetie neopakovaly.

Co mě ale překvapilo je fakt, že podobné chování toleruje provider pana Munčínského Netway. Pochybuji o tom, že nezaznamenal zvýšený traffic na daném počítači/serveru, protože bannery měly řádově desítky kB a nemyslím si, že bych byl jediný, komu se zobrazovaly – navíc poměrně často. Vzhledem k tomu, že internetové stránky pana Munčínského mají desítky tisíc návštěvníků denně, z nichž jen hrstka bude patřit k pravidelným, troufám si odhadnout, že podobný problém mohou mít stovky lidí nejen z České republiky a na přenosech to musí být znát.

A jak se tedy bránit v případě, že patříte k poškozeným? V první řadě si nainstalovat program Ad-Aware od LavaSoftu (bližší info | stáhnout). Ten nainstalovat a pročistit si disk. Potom si na disku vyhledat soubor „hosts“ (bez přípony), zeditovat jej v notepadu a vymazat všechny doménové redirecty na dané IP (pro laiky smažete celé řádky, na nichž se bude objevovat 81.31.5.185). Následně soubor uložíte a máte vyčištěno. Jenom z bezpečnostních důvodů pak doporučuji smazat program download.exe stažený z příslušných stránek a vícekrát je nenavštívit.

Special thanx to:

  • Ondřejovi Munčínskému (games@mosw.com) za originální pětihodinovou nervydrásající detektivku
  • Provozovatelům internetového obchodu za spolupráci
  • Danovi Dočekalovi z POOH.cz, Honzovi Březinovi z Grafika.cz a Michalovi Matulovi z BillBoard.cz za pomoc při zjišťování a odstraňování problému

    Dodatek 9:00: další informace o tomto problému najdete zde na pooh.cz
    Dodatek 11:00: výše zmiňované webové stránky pana Munčínského byly jeho webhosterem po oznámení problému promptně odstaveny. Tento bleskový zásah providera lze jedině ocenit.
    Dodatek 12:30: Je Ondřej Munčínský opravdu tak hloupý a nechápe své počínání? Asi ano, viz. rozhovor s ním
    Dodatek 13:30: Kontaktoval nás Martin Semrád ze společnosti Netway s informací o tom, že zablokovali veškerý provoz z IP adresy, na kterou směřoval trojský kůň Ondřeje Munčínského. "Nutno říci, že ve statistikách jsme si toho problému nevšimli, neboť datový přenos nebyl nad průměrem ostatních, u nás hostovaných webů," vysvětlil Semrád.

  •  

    Nejčtenější

    Jednosměrná letenka na rudou planetu se odkládá. Mars One krachuje

    Ilustrace základny na Marsu, jak si ji představují v organizaci Mars One...

    Firma Mars One, která slibovala soukromý let na Mars už v roce 2024, zkrachovala. Plány dostat na Mars lidské obyvatele...

    Tančík pro vnuka poručíka Grubera. Němci ho nasadili i proti Tálibánu

    Lehké obrněné vozidlo Wiesel s 20mm kanonem

    V množině bojových vozidel Bundeswehru nalezneme s trochou štěstí i malé, ale o to více zajímavé tančíky Wiesel. Do...

    Poslední Hitlerovy narozeniny nestály za nic. Supertanků se nedočkal

    3D model stíhače tanků Jagdpanther, přezbrojeného na kanón ráže 128 mm tak, jak...

    Na podzim 1944 se třetí říše hroutí a německé zbrojovky se snaží o nemožné. Hledají recept na zázračné zbraně,...

    Kapitán nedosáhl na pedály. Začátek proudové éry přinesl zvláštní nehody

    B-707 N7071  Braniff

    Nová technika není vždy nutně bezpečnější. Dokládá to vývoj v letectví na přelomu 50. a 60. let. Piloti se s novými...

    Lokální předpověď počasí se razantně zpřesní, možná pomáhá i váš telefon

    GRAF

    Nejpřesnější lokální předpovědi počasí dnes nabízejí aplikace v našich telefonech - i proto, že s nimi samy pomáhají....

    Další z rubriky

    Tipy na weby: jak parkovat v Praze nebo převedení textu z obrázku

    Ilustrační foto - parkování

    Parkování v Praze nemusí být peklem na zemi. Pomůže web ParkujVklidu.cz. Texty z obrázků již nemusíte přepisovat ručně....

    Britové po vyšetřování označili Facebook za „digitálního gangstera“

    Facebook a cenzura (ilustrační foto)

    Dolní sněmovna Velké Británie vydala závěrečnou zprávu svého vyšetřování a rozhodně si v ní nebrala servítky.

    Google věnoval miliony dolarů Wikipedii. Ví, že ji bude potřebovat

    Společnost Google věnovala otevřené internetové encyklopedii Wikipedia miliony...

    Firma Google věnovala další tři miliony dolarů (přes 67 milionů korun) neziskové organizaci Wikimedia, provozovateli...

    Najdete na iDNES.cz