[mazygene]

بادرود

تكنيك جديد غلبه بر ASLR+DEP

يك محقق امنيتي برجسته، يك كد سوء استفاده كنند عرضه كرده است كه با استفاده از يك تكنيك جديد، سيستم دفاعي ASLR+DEP را بر روي سيستم عامل ويندوز مايكروسافت مغلوب مي­كند.
اين كد سوء استفاده كننده كه توسط يكي از محققان امنيتي شركت گوگل ارائه شده است، از تكنيك return-into-libc براي رد كردن DEP (Data Execution Prevention) و انجام حملات اجراي كد از راه دور بر روي پلتفورمهاي x86 استفاده مي­كند. DEP روشي براي جلوگيري از اجراي داده هاي غير مجاز است. تكنيك return-into-lib، معمولا با يك سرريز بافر آغاز مي­شود كه آدرس بازگشت را در پشته، با يك آدرس ديگر جايگزين مي­كند و يك بخش ديگر از پشته براي ارائه آرگومانها به اين تابع، بازنويسي مي­گردد. اين كار به مهاجم اجازه مي­دهد كه توابع قبلي را بدون نياز به تزريق كد خرابكار به يك برنامه، فراخواني نمايد.
اين محقق امنيتي اظهار داشت كه به اين دليل اين كد سوء استفاده كننده را منتشر كرده است كه نشان دهد كه ASLR+DEP، چندان در جلوگيري از اجراي كدهاي خطرناك به خصوص در پلتفورم­هاي x86 موفق عمل نمي­كند.
كد سوء استفاده كننده Internet Exploiter 2، به صورت آنلاين و در قالب يك فايل zip منتشر شده است.
مايكروسافت، ASLR+DEP را در ويندوز ويستا معرفي كرده و از آنها به عنوان مكانيزمهاي ضد سوء استفاده نام برد، اما متخصصان امنيتي بخش عمده اي از سال گذشته را به پيدا كردن راههايي براي شكست دادن اين مكانيزمها گذراندند.
در كنفرانس Black Hat سال 2008 نيز دو هكر، روشهاي جديدي را براي مغلوب كردن ASLR (Address Space Layout Randomization) و DEP با استفاده از جاوا، كنترلهاي ActiveX و اشياي .NET نشان دادند كه محتواي دلخواه آنها بر روي مرورگرهاي وب قرار مي­داد.

[mazygene]

بادرود

دستگيري سران يكي از بزرگترين Botnet هاي جهان

بنا بر اطلاعات ارائه شده توسط وزارت كشور اسپانيا، روساي يك شبكه رايانه هاي خرابكار كه داراي بيش از 12 ميليون زامبي و نام آن Mariposa است، در يك اقدام مشترك بين سيستم قضايي، پليس و شركت هاي امنيتي مستقر در اسپانيا دستگير شدند.
در پي دستگيري يكي از رؤساي Botnet مذكور، پليس اسپانيا اطلاعات 800 هزار كاربر از 190 كشور جهان را كه در اختيار متهم بوده، ضبط كرده است. همچنين پليس شواهدي را مبني بر وجود ميزبان هاي آلوده در 500 شركت موجود در ليست Fortune و بيش از 40 بانك يافته است.
در 23 دسامبر 2009 گروه بين المللي امنيتي كه بر روي پروژه Marisopa كار مي كردند، توانستند كنترل Botnet مذكور را در اختيار بگيرند. در پي اين اقدام رهبر اين شبكه رايانه هاي خرابكار، با نام مستعار Netkairo، تمام تلاشش را كرد تا بتواند دوباره كنترل Botnet خويش را در اختيار بگيرد. خرابكاران پشت صحنه Marisopa براي وصل شدن به سرورهاي Command-and-control از يك شبكه خصوصي مجازي (***) استفاده مي كرده اند، اما Netkairo براي به دست آوردن كنترل botnet يك اشتباه مرگبار را مرتكب شد و از رايانه خانگي خود به جاي *** استفاده كرد. وي بالاخره توانست كنترل دوباره Botnet مذكور را به دست آورد و در اين هنگام يك حمله انكار سرويس را با تمام توان botnet بر عليه وزارت دفاع اسپانيا انجام داد. اين حمله به صورت جدي بر چندين ISP تأثير گذاشت و تعداد زيادي از كاربران از جمله برخي دانشگاه هاي كانادايي و موسسات دولتي براي ساعت ها اينترنت نداشتند.
نام Manisopa به معني پروانه است كه از نام يك ابزار خرابكارانه DIY(Do It Yourself) گرفته شده است كه براي اولين بار به صورت تجاري و با قيمت حدود 1000 يورو به فروش رسيده است. صاحبان Botnet مذكور براي ارتباط با يكديگر از پروتكل مبتني بر UDP كه خودشان تعريف كرده بودند، استفاده مي كرده اند.
از Botnet مذكور در كارهاي خرابكارانه اي همچون ارسال بدافزار و انجام حملات انكار سرويس توزيع شده مبتني بر TCP يا UDP استفاده مي شده است. بردارهاي اصلي انتشار بدافزارهاي اين شبكه، MSN، حافظه هاي قابل حمل و شبكه هاي P2P بوده است. در زير تصويري از پراكندگي زامبي هاي Mariposa در سراسر كره زمين آورده شده است.

[mazygene]

بادرود

چندين بدافزار بر روي يك گوشي جديد HTC

يكي از محققان شركت اسپانيايي امنيتي پاندا، بعد از خريداري يك گوشي HTC Magic جديد از Vodafone كه داراي سيستم عامل گوگل Android است، در نهايت تعجب دريافت كه گوشي مذكور حاوي بدافزار است. زماني كه اين محقق گوشي خود را از طريق USB به رايانه شخصي اش متصل كرد، آنتي ويروس ابري پاندا دو فايل autorun.inf و autorun.exe را آلوده شناسايي كرد. بعد از بررسي مشخص شد كه گوشي مذكور آلوده به بدافزار بوده و اين آلودگي را به هر رايانه ديگري كه به آن متصل شود نيز منتقل مي كند. بدافزار مذكور براي گرفتن دستورات به سرورهاي شبكه رايانه هاي خرابكار Manisopa متصل مي شود و اطلاعات ورود به سيستم گوشي را براي آنها ارسال مي كند. علاوه بر بدافزار مذكور، Conficker و يك تروجان سرقت كننده نام كاربري و كلمه عبور نيز بر روي گوشي وجود داشته است.
شركت Vodafone يك اپراتور شبكه تلفن همراه بين المللي است كه دفتر مركزي آن در انگلستان قرار دارد. اين شركت بزرگترين شبكه ارتباطات تلفن همراه در جهان است كه در شبكه تلفن همراه 71 كشور دنيا مشاركت دارد.
هفته گذشته سه نفر از سران شبكه رايانه هاي خرابكار Manisopa در اسپانيا دستگير شدند و در حال حاضر كنترل شبكه مذكور در دست پليس اسپانيا است.

[mazygene]

بادرود

جنگ با زئوس

از طرفي شبكه رايانه هاي خرابكار زئوس بدافزار خود را روز به روز قويتر مي سازد و از طرف ديگر متخصصان امنيتي با از كار انداختن سرورها و دامنه هاي متعلق به اين شبكه قصد مقابله با اعمال خرابكارانه آن را دارند.
شبكه رايانه هاي خرابكار زئوس شبكه اي است كه مجرمان اينترنتي از آن براي سرقت اطلاعات بانكي استفاده كرده و تراكنش هاي بانكي آنلاين و غيرمجاز را از اين طريق به انجام مي رسانند. دارندگان اين شبكه بدافزاري به نام زئوس را با امكانات و قيمت هاي متفاوت عرضه مي كنند. جديدترين نسخه اين بدافزار كه كنترل كامل رايانه قرباني را در اختيار هكر مي گذارد با قيمت 10 هزار دلار عرضه مي گردد. به نظر مي رسد نويسندگان بدافزار زئوس خرابكاراني در اروپاي شرقي باشند. نسخه ويندوز زئوس كه تنها 50 كيلو بايت حجم دارد براي چپاول حساب هاي بانكي آمريكاي شمالي و انگلستان از طريق رايانه قرباني طراحي شده است. نسخه جديد اين نرم افزار به گونه اي ايجاد شده است كه تمام سرنخ ها را به رايانه قرباني بازگردانده و اثري از هكر به جا نمي گذارد.
در مقابل متخصصان امنيتي سعي در قطع ارتباط سرورهاي Command and Control زئوس با زامبي ها دارند. در همين راستا اخيراً Kazakhstani ISP تعدادي از ارتباطات مذكور را قطع كرده و تعدادي از دامنه هاي ثبت شده متعلق به زئوس را از كار انداخته است. در اين ضد حمله ارتباطات شش ISP كه ميزبان سرورهاي C&A زئوس بوده اند، قطع گرديده و در نتيجه بنا بر اعلام ScanSafe 25 درصد شبكه رايانه هاي خرابكار زئوس از كار افتاده است. همچنين در پي اين ضد حمله تعداد دامنه هاي فعال زئوس از 249 دامنه به 149 دامنه كاهش پيدا كرده است.

[mazygene]

بادرود

نقص در Microsoft Virtual PC

شركت امنيتي Core Security Technologies روز سه شنبه اعلام كرد كه يك ضعف اصلاح نشده در Virtual PC شركت مايكروسافت، مي­تواند شركت­هايي را كه از اين نرم افزار مجازي سازي استفاده مي­كنند در برابر حملات آسيب پذير نمايد.
Core Security در راهنمايي امنيتي خود نوشت كه يك نويسنده كدهاي سوء استفاده كننده در Core Security اين آسيب پذيري را در Virtual PC hypervisor كشف كرده و در آگوست 2009، آن را به مايكروسافت گزارش كرده است.
Virtual PC hypervisor يك المان از بسته Windows Virtual PC است كه به كاربران اجازه مي­دهد چندين محيط ويندوز را بر روي يك سيستم اجرا نمايند. Hypervisor يك جزء كليدي از مد XP در ويندوز 7 است. اين مد براي راحت شدن كار كاربران در تغيير سيستم عامل از ويندوز XP به ويندوز 7 طراحي شده است.
به گزارش اين راهنمايي امنيتي، مايكروسافت خاطر نشان كرده است كه براي رفع اين مشكل در به روز رساني­هاي آينده محصولات خود برنامه ريزي كرده است، اما هيچ بولتن امنيتي يا اصلاحيه براي اين مشكل عرضه نخواهد كرد. محصولاتي كه تحت تاثير اين آسيب پذيري قرار دارند عبارتند از Microsoft Virtual PC 2007، Virtual PC 2007 SP1، Windows Virtual PC، و Virtual Server 2005. تكنولوژي Hyper-V تحت تاثير اين مشكل قرار ندارد.
بطور خاص، يك برنامه آسيب پذير كه بر روي ويندوز 7 در مدWindows XP اجرا مي­شود، ممكن است در يك محيط مجازي قابل سوء استفاده باشد، در حالي كه همان برنامه كه مستقيما روي ويندوز XP SP3 اجرا گردد، قابل سوء استفاده نخواهد بود.
اين آسيب پذيري به فرد مهاجم اجازه خواهد داد كه از مكانيزمهاي امنيتي مانند جلوگيري از اجراي داده (DEP)، مديريت امن استثنائات (SafeSEH)، و Address Space Layout Randomization (ASLR) عبور نموده و به اين ترتيب، از سيستم عامل ويندوز سوء استفاده نمايد.
در نتيجه برخي برنامه ها كه در سيستم عامل غير مجازي قابل سوء استفاده نيستند، زماني كه در يك سيستم عامل مهمان در يك Virtual PC اجرا مي­گردند، مي­توانند مورد سوء استفاده قرار گيرند.
اين نقص امنيتي، در مديريت حافظه Virtual Machine Monitor قرار دارد.
شركت مايكروسافت در پاسخ به نكاتي اشاره كرده است. نخست اينكه در اين حالت، فرد مهاجم نمي­تواند كل سيستم ميزبان را كه چندين ماشين مجازي را اجرا مي­كند در كنترل بگيرد، چرا كه محافظ امنيتي ويندوز 7 به جاي خود باقي است. دوم اينكه بايد يك آسيب پذيري واقعي در سيستم مهمان وجود داشته باشد تا مهاجم بتواند از اين نقطه ضعف Virtual PC استفاده نمايد. اين شركت به كاربران خود پيشنهاد كرده است كه به استفاده از مد ويندوز XP و Virtual PC ادامه دهند.

[mazygene]

بادرود

انتشار يك بدافزار خطرناك

در صورتي كه ايميلي را به ظاهر از فيس بوك دريافت كرده ايد كه در آن ادعا شده است، به دلايل امنيتي كلمه عبور شما تغيير يافته است و شما را تشويق به باز كردن پيوست ايميل مي كند، بهتر است اين كار را نكنيد زيرا ايميل مزبور در واقع يك فريب اينترنتي است. شركت امنيتي McAfee ديروز چهارشنبه هشدار امنيتي مذكور را صادر كرده است.
پيوست ايميل مذكور حاوي يك بدافزار سرقت كننده رمز عبور است كه مي تواند نه تنها به اطلاعات ورود به سيستم فيس بوك بلكه به تمام نام هاي كاربري و كلمات عبور مورد استفاده در رايانه قرباني دسترسي پيدا كند.
بنا به گزارش McAfee اين بدافزار بسيار خطرناك است زيرا بيش از 350 ميليون كاربر فيس بوك در سراسر جهان وجود دارند. در گزارش مذكور آمده است كه در صورتي كه كاربران دقت كنند كاملاً مشخص است كه اين ايميل جعلي و يك فريب است زيرا از طرفي هيچگاه فيس بوك براي تغيير رمز عبور از پيوست استفاده نمي كند و لينكي را قرار مي دهد تا كاربران از طريق آن به تغيير رمز عبور اقدام كنند و از طرف ديگر ايميل مذكور از لحاظ نوشتاري و گرامري ضعيف است.

[mazygene]

بادرود

جنگ مايكروسافت و Botnet ها

مايكروسافت اعلام كرد كه اقدام قانوني اش در برخور با شبكه رايانه هاي خرابكار Waledac توانسته است ده درصد اين شبكه را از كار بيندازد.
مايكروسافت روز دوشنبه اعلام كرد كه تحقيقات نشان مي دهند بعد از از كار انداختن 270 دامنه مشكوك به كانال ارتباطي سرورهاي فرمان Waledac و زامبي ها، ارسال فرمان از طريق شبكه رايانه هاي خرابكار مذكور متوقف شده است. مايكروسافت اعلام كرد كه نتيجه عمليات آن منجر به بروز تلفات زيادي بر روي Waledac شده است. مركز ضد بدافزار مايكروسافت اعلام كرد كه عمليات b49 منجر به قطع ارتباط بين 70 هزار تا 90 هزار زامبي با سرورهاي فرمان اين Botnet شده است.

[mazygene]

بادرود

انتشار جزییات عملیاتی مربوط به بزرگترین شبکه خرابکاری رایانه ای در جهان

“کشف و تعطیلی بزرگترین شبکه تبهکاری اینترنتی جهان” ، “دستگیری مغزهای متفکر بزرگترین جنایت رایانه ای دنیا” ، “انهدام بزرگترین شبکه تولید و انتشار ویروس های رایانه ای” و …
آنقدر که پس از مدت کوتاهی، بسیاری از خبرگزاری های مهم داخل و خارج کشور، آن را در میان سرخط خبرهای روز قرار دادند.

* اما… اصل ماجرا چه بود ؟

در اواسط ماه می ۲۰۰۹، گزارش محرمانه ای توسط سازمان امنیتیDefence Intelligence در اختیار پلیس اسپانیا و پلیس فدرال ایالات متحده قرار داده شد، مبنی بر کشف شبکه ای عظیم از رایانه های آلوده و تحت فرمان *(BotNet) که احتمالا از کشور اسپانیا هدایت می شوند. در این بین شرکت امنیتی Panda Security نیز به عنوان مشاور اجرایی و فنی، تحقیقات بر روی این پرونده را آغاز کرد تا در نهایت، پس از گذشت شش ماه تلاش شبانه روزی توسط این سازمان های امنیتی ، شبکه ای بسیار بزرگ از رایانه های آلوده و تحت فرمان، که برای اجرای انواع حملات مخرب اینترنتی مورد استفاده قرار می گرفت، کشف و در تاریخ ۲۳ دسامبر ۲۰۰۹ ، به طور کامل تعطیل شد.

انجام تحقیقات دقیق تر، اعلام رسمی این اتفاق بزرگ را اندکی به تعویق انداخت تا این که سرانجام در تاریخ ۳ مارس ۲۰۱۰ میلادی، نمایندگانی از پلیس اسپانیا، اف بی آی و نیز شرکت امنیتی پاندا طی یک کنفرانس مطبوعاتی در مادرید اسپانیا، خبر تعطیلی بزرگترین شبکه تبهکاری اینترنتی جهان با عنوان “Mariposa” را تایید کردند.

* انتشار جزییات بیشتر ….

پس از دستگیری سه تن از رهبران اصلی این شبکه مخرب در یکی از شهرهای کوچک اسپانیا، جزییات بیشتری در رابطه با نحوه شکل گیری و عملکرد این شبکه عظیم خرابکاری بزرگ منتشر شد.
بر اساس تحقیقات انجام شده توسط شرکت امنیتی پاندا ، اطلاعات مربوط به حساب های کاربری و خدمات پست الکترونیک، رمزهای عبور، حساب های بانکی، کارت های اعتباری و داده های حساس سازمانی، در بیش از ۱۳ میلیون رایانه از سرتاسر جهان مورد دستبرد و سوء استفاده دائمی گردانندگان شبکه Mariposa قرار گرفته بود. نکته قابل توجه این جاست که تمام این ۱۳ میلیون رایانه آلوده که ۵۰ درصد از ایستگاه کاری فعال در ۱۰۰۰ شرکت بزرگ و پردرآمد دنیا را نیز شامل می شدند عضوی موثر و فعال از این شبکه بزرگ خرابکاری بوده اند.
کاربران خانگی، سازمان های تجاری و اداری، بخش دولتی و نیز مراکز آموزشی، بیشترین تعداد قربانیان را شامل می شوند.
تحقیقات جغرافیایی این پرونده، نشان می دهد که شبکه ویروسی Mariposa، در بیش از ۱۹۰ کشور و ۳۱۹۰۰ شهر دنیا فعال بوده است.
بنا بر آمارهای منتشر شده، هند، مکزیک و برزیل در مجموع ۴۰ درصد از رایانه های آلوده و تحت فرمان در این شبکه را در برگرفته بودند. این در حالیست که ایران با ۲۹۳ هزار و ۶۷۳ رایانه آلوده، بیش از ۲ درصد کل وسعت این شبکه خرابکاری را به خود اختصاص داده و و در رتبه دوازدهمین کشور آلوده به ویروس قرار گرفت. شهر تهران نیز با در برگرفتن بیش از ۱٫۲۳ درصد از کل رایانه های تحت فرمان Mariposa، دهمین شهر آلوده جهان بوده است. سئول، پایتخت کره جنوبی و پس از آن شهرهای بمبئی، دهلی و مکزیکوسیتی، با تشکیل ۱۸ درصد از کل آلودگی، بزرگترین بخش های جغرافیایی در پراکندگی جهانی Mariposa، محسوب می شدند.
وسعت حملات و آلودگی های ایجاد شده توسط شبکه Mariposa به حدی بود که به گفته کریستوفر دیویس ، مدیر اجرایی شرکت Defence Intelligence ، فهرست کردن شرکت های بزرگی که توسط حملات این شبکه آلوده نشده اند ، کاری به مراتب ساده تر از نام بردن از شرکت هایی ست که به نحوی هدف حملات ویروسی این شبکه مخرب قرار گرفته اند.
مطالعه سیر تحول شبکه Mariposa ، نشان می دهد که این شبکه تبهکاری، به تدریج و با آلوده کردن رایانه های مختلف به کدهای*Bot وسعت یافته است. رهبران Mariposa پس از تزریق Bot به رایانه های سرتاسر دنیا و تبدیل آن ها به عضوی جدید از شبکه مخرب خود ، آن ها را به بدافزارهای دیگری مثل کدهای پیشرفته کلید خوان، تروژان های سارق اطلاعات بانکی ، تروژان های نفوذ گر و … آلوده می کردند تا قابلیت تخریبی این رایانه ها افزایش یابد. هم چنین آن ها از طریق فروش بخش هایی از این شبکه تحت فرمان به خرابکاران دیگر، علاوه بر کسب درآمدهای کلان، موجب افزایش بیشتر آلودگی و افزایش میزان سرقت مستقیم یا غیر مستقیم پول از حساب های بانکی کاربران اینترنت می شدند.
مجموع خسارت های ناشی از فعلیت های تخریبی Mariposa تا کنون ” غیر قابل برآورد ” اعلام شده ، اما منابع اطلاعاتی اعلام کرده اند که صرف نظر از خسارت های مستقیم ، نظیر سرقت پول و اطلاعات ارزشمند، خسارت های غیر مستقیم این حملات به ده ها میلیون ها دلار بالغ می شود.
نکته نگران کننده اینجاست که بر اساس اظهارات پدرو بوستامنته ، مدیر تحقیقات شرکت پاندا ، رهبران شبکه Mariposa هکرهای بسیار حرفه ای نبوده اند و دانش رایانه ای بالایی نیز نداشته اند و این هشداری ست جدی در خصوص پیشرفته تر شدن نرم افزارهای تولید و انتشار ویروس که حتی کاربران عادی تر اینترنت را نیز به نفوذ گرهای حرفه ای تبدیل می کنند!
با استفاده از این نرم افزارها می توان کدهای مخربی را طراحی و تولید کرد که نه تنها رایانه ها را از طریق مواجعه مستقیم با آلودگی در اینترنت قربانی کنند بلکه آن ها را از طریق یک اتصال ساده به شبکه های اشتراک فایل و یا حتی استفاده از حافظه های جانبی آلوده، به یک رایانه تحت فرمان تبدیل کنند.
با این وجود که تحقیقات بیشتر برای کشف سایر رهبران شبکهMariposa در جریان است ، شرکت امنیتی Defence Intelligence نیز اعلام کرد که در پی اقدامات تلافی جویانه خرابکاران ، هدف حملات گسترده اینترنتی موسوم به DDoS قرار گرفت و برای مدتی کوتاه پایگاه اینترنتی خود را از دست داد. اکنون هر چند این حمله و پس لرزه های مربوط به آن همگی تحت کنترل در آمده اند اما کارشناسان امنیت اطلاعات، خطر کدهای مخرب Bot و شبکه های BotNet را هیچ گاه پایان یافته تلقی نمی کنند و به کاربران اینترنت توصیه می کنند که با توجه به عملکرد نامحسوس این ابزار مخرب، از امنیت بالای رایانه های خود اطمینان پیدا کنند.


BotNet : شبکه ای از رایانه های تحت فرمان که می توانند مانند یک ارتش سایبری، برای ترتیب و اجرای حملات بزرگ و همزمان اینترنتی مورد استفاده قرار گیرند.


Bot : مخفف کلمه Robot، این نوع کد مخرب پس از آلوده کردن رایانه ها، آن ها را به رایانه های تحت فرمان و قابل کنترل از دوردست تبدیل می کنند.

[mazygene]

بادرود

یاهو هم از شر هکرهای چینی در امان نماند

یاهو نیز به جمع ۳۰ شرکتی پیوست که توسط هکرهای چینی مورد حملات پیچیده قرار گرفته است.
به نقل از تک تری، اگر چه در مورد علت انجام این حملات گمانه زنی های گسترده ای به عمل آمده، اما منابع امنیتی می گویند حملات یاد شده با هدف جمع آوری اطلاعات در مورد ناراضیان چینی صورت گرفته است.
پیش از این گوگل و ادوب نیز هدف حمله این هکرها قرار گرفته بودند.

بررسی ها حاکی است در مجموع ۳۴ شرکت بزرگ فناوری و آی تی در آمریکا بر اثر این حملات دچار مشکلاتی شده اند و انتظار می رود حملات شدید یاد شده طی روزهای آینده هم ادامه یابد.
به دنبال این حملات و برخی اختلاف نظرهای شدید با دولت چین، گوگل تهدید کرده که فعالیت های تجاری خود در چین را به طور کامل متوقف کرده و دامنه اختصاصی خود در چین را هم غیرفعال خواهد کرد.
یاهو بخش عمده فعالیت های خود در چین را در سال ۲۰۰۵ متوقف کرد، اما با خرید بخش عمده ای از سهام سایت علی بابا کماکان در این کشور فعال است.

[mazygene]

بادرود

کشف شیوه‌ی جدید انتشار ویروس در اینترنت

شرکت امنیتی F-Secure موفق شده به شکل جدید هوشمندانه‌ای از توزیع نرم‌افزار مخرب پی ببرد.
در این شیوه هکرها PDF آنلاین بی‌ضرری را ایجاد می‌کنند که گوگل آن را یافته و به‌عنوان فایل HTML شناسایی و ایندکس می‌کند و پس از آن هکرها فایل را به یک فایل HTML تغییر می‌دهند.

بر اساس این گزارش، احتمالا هکرها فایل مذکور را به‌صورت خودکار بررسی می‌کنند تا دریابند چه زمانی توسط گوگل ایندکس می‌شود و از آنجا که گوگل متوجه تغییر یافتن فایل نمی‌شود، برای نخستین بار تهدیدی نیافته و لینک مذکور باقی می‌ماند.
سپس فایل فلش مخربی در فایل HTML جاسازی می‌شود و لینک‌های موجود در آن بازدیدکننده را به PDF دیگری هدایت می‌کنند که بعدها به یک صفحه وب با فایل فلش مخرب تغییر شکل می‌یابد. نتیجه نهایی کل این عملیات کلاهبرداری آنتی‌ویروس ساختگی است.