Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Cerrado

6

Nueva técnica intrusiva para mostrar ventanas pop-up de publicidad no deseada

Cuando uno piensa que ya lo había visto casi todo en formas de inundar al usuario con publicidad no deseada... llega alguien que te sorprende todavía más.

La nueva técnica se basa en modificar la traducción de nombres a direcciones IP que realiza tu máquina (una especie de DNS spoofing pero sin salir de tu PC). En los sistemas Windows existe un fichero llamado #8220;hosts#8221; en el que es posible indicar a mano la traducción de un nombre a una dirección IP. Aunque en ciertos entornos puede tener utilidad, en la mayoría de los casos está vacío o contiene únicamente la siguiente entrada: #8220;localhost 127.0.0.1#8221;.

Esta técnica se basa en modificar este fichero y añadir una entrada como esta: #8220;66.40.16.218 auto.search.msn.com#8221; (la dirección IP puede ser diferente). El servidor #8220;auto.search.msn.com#8221; es el portal de MSN de Microsoft al que te lleva MS Internet Explorer cuando cometes un error al escribir una URL. Con esta modificación se consigue que al escribir erróneamente un dirección en el navegador, éste no te redirija a la página oficial del portal MSN de Microsoft sino al servidor especificado.

Además, para que el usuario no sospeche nada, la página de este nuevo servidor abre una ventana adicional en la que se muestra la web oficial de MSN y otra ventana con un tamaño mínimo que queda minimizada para y que, aunque parece no hacer nada, periódicamente y de forma aleatoria abre nuevas ventanas con publicidad (205.134.182.163/1/rotate.html, 205.134.182.163/1/cbr.htm y 205.134.182.161/cool.html), molestando profundamente al usuario, que será incapaz de librarse de ellas ya que ni siquiera el popular software Lavasoft Ad-aware (www.lavasoftusa.com) lo detecta.

Para los más curiosos, este es el código de la ventana minimizada (205.134.182.161/cool.html):

<html><head><title>Microsoft Internet Explorer</title><script language="Javascript"> i0 = new Image(); i0.src = "a1.gif"; i1 = new Image(); i1.src = "a2.gif"; i2 = new Image(); i2.src = "a3.gif"; i3 = new Image(); i3.src = "a4.gif";

var mymessage = ""; if (document.layers){document.captureEvents(Event.MOUSEDOWN);}

function rtclickcheck(keyp) {if (document.layers && keyp.which != 1){alert(mymessage); return false;}

if (document.all && event.button != 1){alert(mymessage); return false;}} document.onmousedown = rtclickcheck; </script></head><body onload=closeMe();><script language=Javascript> var howLong=610000;

var pURL = new Array(); var pName = new Array(); var pPos = new Array(); var pDelay = new Array();

var pHeight = new Array(); var pWidth = new Array();

pURL[0] = "205.134.182.163/1/rotate.html"; pURL[1] = "205.134.182.163/1/cbr.htm";
pName[0] = "pop1"; pName[1] = "pop2"; pDelay[0] = "5"; pDelay[1] = "10"; var win=null;

function OpenWindow(url,id,w,h,scroll,pos,t,l){Left=(screen.width-w)/2; Top=(screen.height-h)/2;

set='width='+w+',height='+h+',top='+Top+',left='+Left+',scrollbars='+scroll+',location=yes,directories=yes,status=yes,menubar=yes,toolbar=yes,resizable=yes'; mywin=window.open(url,id,set); mywin.focus();}

for(var npop in pURL){

var st= "OpenWindow('"+pURL[npop]+"','"+pName[npop]+"',800,600,'yes','center',0,0)";

setTimeout(st,pDelay[npop]*1000 * 60);}

function closeMe(){t=setTimeout("self.close()",howLong);}</script></body></html>

Aunque en este artículo he mostrado un uso de esta técnica por parte de un anunciante concreto, existen otros anunciantes que también la utilizan, por lo que las direcciones IP pueden variar.

Aprovecho para mostrar mi agradecimiento a Mike Healan, de Spyware Info, por la colaboración prestada.

Klax (basssoftware@hotmail.com)

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Cerrado

    Y no se puede...

    Y no podemos utilizar esto en nuestro beneficio?

    Es decir no podemos modificar voluntariamente modificar el fichero Hosts para añadir una linea parecida a esta:

    216.239.37.101 search.msn.com

    Y de esta manera en lugar del cutrebuscador de msn nos salga el buscador de google? Asi de paso jodemos un poco los millones de visitas q tiene m$ por equivocaciones?

    Por cierto esa linea no funciona, al equivocarte da una pantalla de error en lugar de entrar en auto.msn.search.com(es un comienzo...), a alguien se le ocurre como podria funcionar?

    • Cerrado

      6

      [vacío]

      A mi tambien me sorprendio cuando descubri lo que estaba pasando tras muchas horas de examinar qué programas tenía residentes o cargaban al inicio de Windows en busca de algún programa que fuera el responsable de los malditos anuncios...

      Lo peor de todo es que supongamos que nos cambian el fichero HOSTS y añaden una entrada del tipo "bbva.es x.x.x.x" ... podrían llevarnos a su servidor, en el que pondríamos nuestras claves de acceso, sin que nos diéramos cuenta de nada... ¿o acaso alguien verifica la información de los certificados SSL?

1