La computadora de mi madre se infectó recientemente con algún tipo de rootkit. Todo comenzó cuando recibió un correo electrónico de un amigo cercano pidiéndole que revisara algún tipo de página web. Nunca lo vi, pero mi madre dijo que era solo un blog de algún tipo, nada interesante.
Unos días después, mi madre inició sesión en la página de inicio de PayPal. PayPal proporcionó algún tipo de aviso de seguridad que indicaba que para evitar el fraude, necesitaban información personal adicional. Entre algunas de las informaciones más normales (nombre, dirección, etc.), ¡le pidieron su SSN y PIN bancario! Ella se negó a enviar esa información y se quejó a PayPal de que no deberían solicitarla.
PayPal dijo que nunca pedirían esa información y que no era su página web. No hubo tal "aviso de seguridad" cuando se conectó desde una computadora diferente, solo desde la suya. No fue un intento de phishing o redirección de algún tipo, IE claramente mostró una conexión SSL a https://www.paypal.com/
Recordó ese extraño correo electrónico y le preguntó a su amiga al respecto: ¡el amigo nunca lo envió!
Obviamente, algo en su computadora estaba interceptando la página de inicio de PayPal y ese correo electrónico fue lo único extraño que sucedió recientemente. Ella me confió que arreglara todo. Saqué la computadora de la órbita, ya que era la única forma de estar segura (es decir, reformateé su disco duro e hice una instalación limpia). Eso pareció funcionar bien.
Pero eso me hizo preguntarme ... mi madre no descargó ni ejecutó nada. No se estaban ejecutando controles ActiveX extraños (no es analfabeta informática y sabe que no debe instalarlos), y solo usa el correo web (es decir, no tiene vulnerabilidad de Outlook). Cuando pienso en páginas web, pienso en la presentación de contenido: JavaScript, HTML y quizás algo de Flash.
¿Cómo podría eso instalar y ejecutar software arbitrario en su computadora? Parece un poco raro / estúpido que existan tales vulnerabilidades.
Respuestas:
Si está usando una versión desactualizada de IE (o Firefox), entonces hay vulnerabilidades bien conocidas en el navegador. Sí, es un poco extraño / estúpido, pero escribir un software perfecto es muy muy muy muy difícil.
Probablemente haya vulnerabilidades desconocidas / no reveladas en las versiones actuales de los navegadores web (así como en cualquier otra pieza de software)
fuente
Estoy bastante convencido de que flash tiene algunas vulnerabilidades. He sido infectado por sitios web que visité usando Firefox y estoy seguro de que no instalé nada.
fuente
Mire los ataques de cross-site scripting (XSS) - wikipedia ref .
También podría ser un ejecutable de malware en un archivo adjunto de correo que se lanzó.
Pero, dado que describe ir a un sitio, un exploit del sitio referido probablemente sea el culpable.
Si hace clic en los enlaces de su buzón mientras está conectado a Internet,
todas las vulnerabilidades de su navegador están expuestas a los sitios a los que llega. Al menos debe mantener su máquina parcheada (si el sistema operativo aún es compatible) e instalar un antivirus (sí, eso provocará una gran conversación aquí).
Pero, en gran medida, sería aprender a no hacer clic en ningún enlace desconocido o abrir archivos adjuntos inesperados que mantendrán su sistema más seguro .
¿No debería migrar esta pregunta a SuperUser ?
El archivo host de Windows se puede modificar para que el sistema siempre se desvíe (incluso después de un reinicio).
Aquí hay un ataque más evolucionado que usa estas cosas: cómo el malware expande una red de phishing .
Si usa cosas como Spybot Search & Destroy . Seguirá revisando su archivo de hosts en busca de daños.
fuente
Este tipo de explotación solo es peligroso si ejecuta su navegador con derechos de administrador.
fuente
IE no es en absoluto un navegador seguro, pero una página web no debería poder infectar una computadora, a menos que esté explotando algunos agujeros de seguridad bastante grandes en los complementos y / o características adicionales del navegador.
Para estar lo más seguro posible, use un navegador web (como Google Chrome) que muestre páginas web en un entorno limitado, un entorno virtual, que evitará que el código malicioso llegue a su computadora. Además, Chrome se pone en contacto con una base de datos de sitios web maliciosos y muestra una advertencia antes de cargarlos, solo para asegurarse.
Escribir complementos y complementos para navegadores siempre implicará un equilibrio de poder versus seguridad, alguien simplemente le dio demasiado poder al complemento. (Estoy apostando a su Java)
fuente
Me inclino a creer que lo que experimentó fue el resultado de un complemento desactualizado como Flash o Java. A menos que tenga una necesidad real de Java en el sistema, elimínelo. Y siempre trate de mantenerse al día con los instaladores. Realmente, si la seguridad es un problema, les diría que usen Linux. Eso tiene un actualizador mucho mejor. Alternativamente, podría ser que haya un exploit dentro del navegador. IE8 es un navegador antiguo que está lleno de agujeros de seguridad. Use Chrome, Opera o Firefox, todos son kilómetros más modernos y más seguros. Además, el hecho de que esté usando XP significa que el sistema no tiene absolutamente ningún concepto de permisos. No hay sudo y root, ni UAC. Los sistemas operativos Windows más modernos como 7 y 8 tienen UAC, que si bien no está a la altura de sudo + apparmor / SELinux en Linux, sigue siendo mucho mejor que nada.
Solo para limpiar una confusión, un sitio puede infectar su computadora sin complementos. A saber, JavaScript. Aunque los navegadores modernos sandbox JavaScript, por lo que solo puede realizar operaciones de archivo en / tmp, JavaScript aún puede aprovechar las vulnerabilidades reales dentro del navegador. En algunos casos, esto puede incluso ser exploits en navegadores parcheados (comúnmente conocido como exploit de 0 días) aunque tales incidentes son raros.
fuente