Como a visita a uma página da Web pode infectar seu computador?

O computador da minha mãe foi infectado recentemente com algum tipo de rootkit. Tudo começou quando ela recebeu um e-mail de uma amiga íntima pedindo para ela verificar algum tipo de página da web. Eu nunca vi, mas minha mãe disse que era apenas um tipo de blog, nada de interessante.

Alguns dias depois, minha mãe fez login na página inicial do PayPal. O PayPal deu algum tipo de aviso de segurança, afirmando que, para evitar fraudes, eles precisavam de algumas informações pessoais adicionais. Entre algumas das informações mais normais (nome, endereço etc.), eles pediram o SSN e o PIN do banco! Ela se recusou a enviar essas informações e reclamou ao PayPal que elas não deveriam solicitá-las.

O PayPal disse que nunca pediria essas informações e que não era a página deles. Não havia esse "aviso de segurança" quando ela se conectou a partir de um computador diferente, apenas do dela. Não foi uma tentativa ou redirecionamento de phishing de algum tipo, o IE mostrou claramente uma conexão SSL para https://www.paypal.com/

Ela lembrou-se daquele email estranho e perguntou à amiga sobre isso - o amigo nunca o enviou!

Obviamente, algo no computador dela estava interceptando a página inicial do PayPal e esse e-mail foi a única outra coisa estranha que aconteceu recentemente. Ela me confiou para consertar tudo. Desliguei o computador da órbita, pois era a única maneira de ter certeza (ou seja, reformatava o disco rígido e fazia uma instalação limpa). Isso pareceu funcionar bem.

Mas isso me fez pensar ... minha mãe não baixou e executou nada. Não havia controles ActiveX estranhos em execução (ela não é analfabeta no computador e sabe não instalá-los) e usa apenas o webmail (ou seja, não há vulnerabilidade no Outlook). Quando penso em páginas da Web, penso na apresentação de conteúdo - JavaScript, HTML e talvez algum Flash.

Como isso poderia instalar e executar software arbitrário no seu computador? Parece meio estranho / estúpido que essas vulnerabilidades existam.

Se ela estiver usando uma versão desatualizada do IE (ou Firefox), então existem vulnerabilidades conhecidas no próprio navegador. Sim, é meio estranho / estúpido, mas escrever um software perfeito é muito, muito, muito, muito difícil.

Provavelmente, existem vulnerabilidades desconhecidas / não divulgadas nas versões atuais dos navegadores da Web (assim como em qualquer outro software)

Estou bastante convencido de que o flash tem algumas vulnerabilidades. Fui infectado por sites que visitei usando o Firefox e tenho certeza de que não instalei nada.

Veja as atas de scripts entre sites (XSS) - wikipedia ref .

Também pode ser um malware executável em um anexo de email iniciado.
Mas, como você descreve a possibilidade de acessar um site, é provável que uma exploração do navegador a partir do site referido seja a culpada.

Se ela clicar nos links da caixa de correio enquanto a Internet estiver conectada,
todas as vulnerabilidades do navegador serão expostas aos sites que ela acessa. Você deve pelo menos manter a máquina corrigida (se o sistema operacional ainda for compatível) e instalar um antivírus (sim, isso trará uma grande conversa aqui).

Mas, em grande parte, seria aprender a não clicar em nenhum link desconhecido ou abrir anexos inesperados que manterão seu sistema mais seguro .

Esta pergunta não deve ser migrada para o SuperUser ?

O arquivo host do Windows pode ser modificado para tornar o sistema sempre desviado (mesmo após uma reinicialização).
Aqui está um ataque mais evoluído usando essas coisas - Como o malware expande uma rede de phishing .
Se você usa coisas como o Spybot Search & Destroy . Ele continuará verificando o arquivo do seu host quanto a danos.

Esse tipo de exploração só é perigoso se você executar o navegador com direitos de administrador.

O IE não é de forma alguma um navegador seguro, mas uma página da Web não deve infectar um computador, a menos que esteja explorando algumas brechas de segurança bastante grandes nos plug-ins e / ou recursos adicionais do navegador.

Para ser o mais seguro possível, use um navegador da Web (como o Google Chrome) que exibe páginas da Web em uma sandbox, um ambiente virtual, que impedirá que códigos maliciosos cheguem ao seu computador. Além disso, o chrome entra em contato com um banco de dados de sites mal-intencionados e exibe um aviso antes de carregá-los, apenas para ter certeza.

Escrever plug-ins e complementos para navegadores sempre envolverá um equilíbrio de poder versus segurança; alguém acabou de dar ao plug-in um pouco de poder. (Eu estou apostando seu java)

Estou inclinado a acreditar que o que ela experimentou foi resultado de um plug-in desatualizado como Flash ou Java. A menos que você tenha uma necessidade real de Java no sistema, remova-o. E sempre tente manter-se atualizado com os instaladores. Realmente, se a segurança é um problema, eu diria para eles usarem o Linux. Isso tem um atualizador muito melhor. Como alternativa, pode haver uma exploração dentro do próprio navegador. O IE8 é um navegador antigo preenchido com falhas de segurança. Use o Chrome, Opera ou Firefox, todos eles são muito mais modernos e seguros. Além disso, o fato de ela estar usando o XP significa que o sistema não tem absolutamente nenhum conceito de permissões. Não há sudo & root e nem UAC. Os sistemas operacionais Windows mais modernos, como os 7 e 8, têm o UAC, que, embora não seja parecido com o sudo + apparmor / SELinux no Linux, ainda é muito melhor do que nada.

Apenas para limpar uma confusão, um site pode infectar seu computador sem plug-ins. Ou seja, JavaScript. Embora os navegadores modernos protejam o JavaScript de modo que ele possa executar operações de arquivo apenas em / tmp, o JavaScript ainda pode tirar proveito das vulnerabilidades reais do próprio navegador. Em alguns casos, isso pode ser até explorações em navegadores corrigidos (comumente conhecidos como exploração de 0 dias), embora esses incidentes sejam raros.