Czy pliki z Chomikuj.pl są bezpieczne? Głośny przypadek trojana i jak nie pobrać wirusa
Chomikuj.pl od lat służy Polakom do wymiany plików, ale darmowe „programy”, cracki i pirackie wersje aplikacji potrafią mieć drugie dno. Najlepiej pokazuje to nagłośniony przez nas przypadek, w którym ponad ćwierć miliona plików EXE z tego serwisu okazało się zainfekowanych jednym koniem trojańskim. Wyjaśniamy, co się wtedy stało, dlaczego pobieranie plików z serwisów hostingowych bywa ryzykowne i jak robić to bezpiecznie.
Głośny przypadek: ponad 260 tysięcy zainfekowanych plików EXE
Firma Palo Alto Networks opisała złośliwe oprogramowanie, na które natrafiała w sieciach polskich firm i instytucji – rozprowadzane między innymi przez Chomikuj.pl. Analitycy Zaufanej Trzeciej Strony namierzyli konta odpowiedzialne za udostępnianie zainfekowanych plików, a skala okazała się ogromna: 7 kont zawierało łącznie 262 314 plików EXE o objętości niemal 100 GB, praktycznie w całości zarażonych tym samym trojanem.
Szkodnik, nazwany PWOBot, napisano w całości w Pythonie, a następnie skompilowano do pliku EXE. Najstarsze ślady jego wersji sięgają końca 2013 roku, a kulminacja ataków przypadła na drugą połowę 2015 roku – odnaleziono aż 12 jego odmian. Po zainfekowaniu komputera potrafił m.in. pobierać i uruchamiać kolejne pliki, rejestrować naciskane klawisze (keylogger) i wykonywać dowolny kod. Badacze wiązali kampanię z autorem znanego wcześniej trojana bankowego Banatrix. Mechanizm był prosty: ktoś brał popularne, pirackie oprogramowanie, doklejał do każdego pliku EXE swój kod i rozsiewał je po serwisach do wymiany plików.
To opisany, udokumentowany incydent sprzed lat – nie twierdzimy, że dziś każde konto na Chomikuj.pl jest groźne. Pokazuje on jednak regułę, która się nie zestarzała: plik wykonywalny z niepewnego źródła to loteria.
Dlaczego pliki z serwisów hostingowych bywają groźne?
Serwisy do wymiany plików z założenia nie weryfikują zawartości tego, co wrzucają użytkownicy. Przestępcy chętnie to wykorzystują, bo ofiara sama szuka „darmowej” wersji płatnego programu, gry czy aktywatora – i sama, dobrowolnie, uruchamia pobrany plik. Złośliwy kod najczęściej doklejany jest właśnie do cracków i pirackiego oprogramowania, bo nikt nie zgłosi do pomocy technicznej, że nielegalny program zachowuje się dziwnie.
Po czym poznać niebezpieczny plik?
- Rozszerzenie wykonywalne tam, gdzie spodziewasz się dokumentu: .exe, .scr, .bat, .js.
- Podwójne rozszerzenie mające zmylić, np. „setup.pdf.exe” albo „crack.jpg.scr”.
- Pliki spakowane w archiwa (.zip, .rar, .iso) chroniące zawartość przed skanerem, często z hasłem podanym w opisie.
- Program, który po uruchomieniu prosi o wyłączenie antywirusa lub uprawnienia administratora bez wyraźnego powodu.
Więcej o rozpoznawaniu groźnych plików piszemy w artykule o niebezpiecznych załącznikach w mailach.
Jak bezpiecznie pobierać pliki?
Najskuteczniejsza zasada jest też najprostsza: pobieraj oprogramowanie z oficjalnych źródeł – stron producentów i autoryzowanych sklepów. Jeśli już ściągasz plik z serwisu społecznościowego, przeskanuj go programem antywirusowym przed uruchomieniem. Pamiętaj jednak, że jeden skaner to nie wyrocznia – twórcy PWOBot celowo użyli Pythona, by przez długi czas omijać wykrywanie. Dlatego nie traktuj braku alarmu jako gwarancji bezpieczeństwa i nigdy nie uruchamiaj pliku EXE, którego pochodzenia nie jesteś pewien. W firmie warstwą, która wyłapie szkodnika nawet po jego uruchomieniu, jest ochrona stacji końcowych klasy EDR. Jak taka ochrona radzi sobie z zero-day i ransomware, pokazujemy w bezpłatnym nagraniu: WatchGuard EPDR – nowoczesna ochrona endpointów i wykrywanie cyberataków.
Co zrobić, jeśli pobrałeś zainfekowany plik?
Jeśli podejrzewasz infekcję, odłącz komputer od internetu, by ograniczyć komunikację szkodnika i ewentualne szyfrowanie danych. Następnie wykonaj pełne skanowanie i usuń zagrożenie – krok po kroku opisujemy to w poradniku, jak usunąć trojana. Po wszystkim zmień hasła z czystego urządzenia, zwłaszcza do bankowości i poczty.
FAQ – pliki z Chomikuj.pl i bezpieczeństwo pobierania
Czy Chomikuj.pl jest bezpieczny?
Sam serwis to narzędzie do przechowywania plików. Ryzyko bierze się z tego, co i od kogo pobierasz – największe dotyczy plików wykonywalnych i pirackiego oprogramowania od nieznanych użytkowników.
Czy skanowanie pliku na VirusTotal wystarczy?
To dobry punkt wyjścia, ale nie pełna gwarancja. Świeże lub celowo zaciemnione szkodniki potrafią przez jakiś czas pozostawać niewykryte przez część silników.
Jakie pliki są najbardziej ryzykowne?
Pliki wykonywalne (.exe, .scr), archiwa z hasłem oraz cracki i aktywatory płatnych programów – to klasyczny nośnik złośliwego kodu.
Co najbardziej zwiększa bezpieczeństwo?
Pobieranie z oficjalnych źródeł, aktualny antywirus lub EDR oraz zasada ograniczonego zaufania wobec „darmowych” wersji płatnego oprogramowania.