В P2P предлагают музыку за рекламное ПО
Лаборатория PandaLabs зафиксировала циркулирующие по интернету файлы, якобы содержащие фильмы и музыку, при попытке проигрывания которых пользователю сообщается, что он обязан установить рекламное ПО.Используемый предлог – необходимость получения лицензии для проигрывания файлов. Файлы, обнаруженные PandaLabs на данный момент, в действительности, не содержали ни музыки, ни видеороликов. Однако такую возможность нельзя исключать. Атака начинается после того, как пользователь скачивает мнимый видео (*.wmv) или аудио (*.wma) файл. Когда пользователь пытается проиграть этот файл на своем компьютере, отображается окно, предлагающее получить лицензию. Сообщение поясняет, что для получения бесплатной лицензии пользователь должен установить IST Toolbar – известную рекламную программу, которая используется как средство проникновения многими другими угрозами.
"Несмотря на то, что пользователя предупреждают об установке рекламной программы и ему предоставляется возможность прочитать лицензионное соглашение, которое содержит вводящие в заблуждение условия и эксплуатирует тот факт, что немногие пользователи осознают воздействие, которое окажет на их компьютер установка этой программы – ведь она способна устанавливать на систему многие прочие вредоносные коды, - объясняет Луис Корронс, директор PandaLabs. - К тому же, вся эта система представляется очень похожей на мошенничество. Если учесть, что в файлах обнаруженных PandaLabs на настоящий момент нет ни музыки, ни видеороликов".
При отображении этого сообщения пользователю предлагается установить элемент ActiveX, который и является программой IST Toolbar. Если пользователь не соглашается на установку, он не будет заражен, но также он не сможет проиграть видео или аудио файл. Если пользователь соглашается на установку, скачивается IST Toolbar (обозначаемый Panda Software как ISTBar), заражая систему и позволяя проигрывание файла, в случае, если он существует. Однако, по словам Луиса Корронса, так происходит не всегда: "Предупреждение об установке элемента ActiveX не всегда отображается на компьютерах с низким уровнем безопасности, либо потому, что пользователь сам настроил его таким образом, либо потому, компьютер уже заражен одним из многих представителей вредоносного ПО с функцией снижения уровня безопасности. Поэтому исключительно важно проверять настройки браузера для того, чтобы предотвратить установку элементов ActiveX сомнительного происхождения". Этот процесс действует только на компьютерах, где установлен проигрыватель Windows Media Player версии 9 или более поздней.