25.02.2013, 16:47
Na Facebooku grasuje nowy wirus, który jest rozprzestrzeniany za pośrednictwem zakażonych fanpage'y.
![[Obrazek: fb-zaj.jpg]](http://www.komputerswiat.pl/media/2013/42/2808810/fb-zaj.jpg)
Rosyjska firma antywirusowa Doctor Web ostrzega przed złośliwym oprogramowaniem, które pojawiło się na Facebooku. Trojan jest rozprzestrzeniany za pomocą specjalnych fanpage'y i linków, które zamiast odsyłać do materiałów filmowych, uruchamiają szkodliwe skrypty.
W chwili obecnej na Facebooku działa już ponad kilkaset stron o nazwach pokroju Videos Mega lub Mega Videos, które serwują użytkownikom złośliwy link ukryty pod obrazkiem Adobe Flash Player. Pod żadnym pozorem z nich nie korzystajcie, bo może to doprowadzić do przykrych i niebezpiecznych konsekwencji.
Kliknięcie w taki link skutkuje uruchomieniem skryptu, który w sposób nie budzący podejrzeń zachęca do przeprowadzenia aktualizacji tej wtyczki. Jeśli użytkownik się zgodzi, na jego komputer zostaną pobrane samorozpakowujące się pliki zawierające Trojan.DownLoader8.5385. Trojan zawiera wiarygodny podpis cyfrowy wydany w imieniu firmy Updates LTD, w związku z czym instalacja może nie uaktywnić alarmów bezpieczeństwa na komputerach niezabezpieczonych odpowiednim programem antywirusowym.
Trojan DownLoader8.5385 jest typowym złośliwym programem, którego zadaniem jest pobranie i uruchomienie innych szkodliwych plików na zainfekowanym komputerze. Program pobiera wtyczki dla przeglądarek internetowych Google Chrome i Mozilla Firefox. Wtyczki te zostały zaprojektowane do wysyłania zaproszeń do różnych grup na Facebooku i "polubienia" postów na portalu społecznościowym. Dodatkowo, złośliwe rozszerzenia mogą przyczynić się do:
zbierania informacji na temat użytkowników Facebooka znajdujących się na "liście znajomych" posiadacza zainfekowanego systemu
"polubienia" stron społecznościowych lub materiałów zewnętrznych
dzielenia się albumem ze zdjęciami na danej stronie
dołączenia do grup
wysyłania zaproszeń "dołącz do grupy" do użytkowników z "listy znajomych"
zamieszczania linków na wallu użytkownika
zmiany statusu użytkownika
otwierania okienek czatu
dołączenia do aktywności na Facebooku
zapraszania użytkowników do aktywności
postowania komentarzy
odbierania i wysyłania sugestii
Trojan.DownLoader8.5385 instaluje również na zainfekowanym systemie wirusa BackDoor.IRC.Bot.2344 . Z kolei ten trojan może włączyć zainfekowane komputery do botnetu i wykonać różne komendy wysyłane przez specjalny kanał IRC stworzony przez przestępców. Dyrektywy, które mogą być wykonywane przez BackDoor.IRC.Bot.2344 obejmują:
wykonanie komend CMD
pobranie pliku z określonej lokalizacji w Internecie i umieszczenie go w wyznaczonym folderze lokalnym
sprawdzenie, czy proces wyznaczony w dyrektywie jest uruchomiony
wysłanie listy uruchomionych procesów zebranych za pomocą narzędzia tasklist.exe do zdalnego serwera
wyłączenie wyznaczonego procesu
uruchamianie dowolnej aplikacji
pobranie i zainstalowanie wtyczek do Google Chrome za pomocą określonego URL
![[Obrazek: obrazek-1.png]](http://www.komputerswiat.pl/media/2013/56/2832926/obrazek-1.png)
Tak wygląda jedna z podejrzanych stron. Na Facebooku są ich setki
Źródło: Doctor Web
Rosyjska firma antywirusowa Doctor Web ostrzega przed złośliwym oprogramowaniem, które pojawiło się na Facebooku. Trojan jest rozprzestrzeniany za pomocą specjalnych fanpage'y i linków, które zamiast odsyłać do materiałów filmowych, uruchamiają szkodliwe skrypty.
W chwili obecnej na Facebooku działa już ponad kilkaset stron o nazwach pokroju Videos Mega lub Mega Videos, które serwują użytkownikom złośliwy link ukryty pod obrazkiem Adobe Flash Player. Pod żadnym pozorem z nich nie korzystajcie, bo może to doprowadzić do przykrych i niebezpiecznych konsekwencji.
Kliknięcie w taki link skutkuje uruchomieniem skryptu, który w sposób nie budzący podejrzeń zachęca do przeprowadzenia aktualizacji tej wtyczki. Jeśli użytkownik się zgodzi, na jego komputer zostaną pobrane samorozpakowujące się pliki zawierające Trojan.DownLoader8.5385. Trojan zawiera wiarygodny podpis cyfrowy wydany w imieniu firmy Updates LTD, w związku z czym instalacja może nie uaktywnić alarmów bezpieczeństwa na komputerach niezabezpieczonych odpowiednim programem antywirusowym.
Trojan DownLoader8.5385 jest typowym złośliwym programem, którego zadaniem jest pobranie i uruchomienie innych szkodliwych plików na zainfekowanym komputerze. Program pobiera wtyczki dla przeglądarek internetowych Google Chrome i Mozilla Firefox. Wtyczki te zostały zaprojektowane do wysyłania zaproszeń do różnych grup na Facebooku i "polubienia" postów na portalu społecznościowym. Dodatkowo, złośliwe rozszerzenia mogą przyczynić się do:
zbierania informacji na temat użytkowników Facebooka znajdujących się na "liście znajomych" posiadacza zainfekowanego systemu
"polubienia" stron społecznościowych lub materiałów zewnętrznych
dzielenia się albumem ze zdjęciami na danej stronie
dołączenia do grup
wysyłania zaproszeń "dołącz do grupy" do użytkowników z "listy znajomych"
zamieszczania linków na wallu użytkownika
zmiany statusu użytkownika
otwierania okienek czatu
dołączenia do aktywności na Facebooku
zapraszania użytkowników do aktywności
postowania komentarzy
odbierania i wysyłania sugestii
Trojan.DownLoader8.5385 instaluje również na zainfekowanym systemie wirusa BackDoor.IRC.Bot.2344 . Z kolei ten trojan może włączyć zainfekowane komputery do botnetu i wykonać różne komendy wysyłane przez specjalny kanał IRC stworzony przez przestępców. Dyrektywy, które mogą być wykonywane przez BackDoor.IRC.Bot.2344 obejmują:
wykonanie komend CMD
pobranie pliku z określonej lokalizacji w Internecie i umieszczenie go w wyznaczonym folderze lokalnym
sprawdzenie, czy proces wyznaczony w dyrektywie jest uruchomiony
wysłanie listy uruchomionych procesów zebranych za pomocą narzędzia tasklist.exe do zdalnego serwera
wyłączenie wyznaczonego procesu
uruchamianie dowolnej aplikacji
pobranie i zainstalowanie wtyczek do Google Chrome za pomocą określonego URL
Tak wygląda jedna z podejrzanych stron. Na Facebooku są ich setki
Źródło: Doctor Web