Вируси, антивируси, Фейсбук… | webcafe.bg
Webcafe

Заснет си! Ела да се видиш в YouTube!

Григор Гачев 01.08.2011, 09:35 (обновена 02.08.2011, 08:50)
Youtube and facebook

Из Facebook броди вирус, чието разпространение се улеснява от "задклавиатурното устройство"

От няколко дни на ползващите Фейсбук се случва нещо интересно.

Получават чрез чата му съобщение от познат им приятел, което ги кани да видят в YouTube видео. (Под предлог, че показва тях.) При опита за отварянето на видеото получават съобщение, че Flash Player-а им е вече стар, и покана да си свалят най-новата версия. За щастие или съжаление, на видеото ги няма.

Но още на следващия ден започват да получават от Фейсбук приятелите си съобщения в стил "Абе няма ме на това видео, защо реши, че съм на него?". Включително от хора, на които не са писали нищо от месеци. По същото време може и да забележат, че компютърът им се държи смътно странно, въпреки че всички антивируси са налице, ъпдейтнати и не откриват нищо.

Ако имат някой наистина грамотен компютърно приятел, може и да им се обади с: "Какъв е този вирус, който ми прати във фейсбука?", и да не вярва, когато му обясняват, че компютърът им не е заразен.

И с право. Защото компютърът им наистина е заразен.

Въпросният вирус е наистина качествено постижение. Изследователите още не са се спрели на общо име за него; като че ли за момента се налага Trojan.FakeAV.LVT. Заразява всички версии на Windows. Засега потребителите на Linux са в безопасност (вирусът използва уиндоуското API и е безпомощен без него).

Тъй като обаче прониква в компютъра не чрез технически експлойт, а чрез социално инженерство, никоя операционна система не е защитена - дупката в сигурността всъщност е "задклавиатурното устройство".

Както се сещате, съобщението "Flash Player-а ви е стар, свалете си нова версия" всъщност ще ви свали и инсталира вируса, ако имате глупостта да се съгласите. При инсталирането си вирусът мигновено убива антивирусните програми на компютъра ви. След това ги подменя с идентично изглеждащи копия, които наглед правят всичко (сканират компютъра, свалят ъпдейтове и т.н.), но ефектът им е само психотерапевтичен.

После разпраща от ваше име на всичките ви приятели във Фейсбук съобщението с линка. Накрая започва да сваля и инсталира допълнителни модули, които разширяват функционалността му с какво ли не.

За момента пълен списък на модулите му няма (и вероятно няма как да има - сигурно киберпрестъпниците зад него непрекъснато пишат нови). Ако съдя по това, което съм намирал в предишни вируси, сред модулите вероятно ще има:

- сеене на пощенски и уики спам (ако съдя по това, което става през последните 2 дни в уикитата и блоговете, които стопанисвам, този модул вече е активен);

- дистрибутиран C&C (command and control): вместо да има централен сървър, от който вирусът на компютъра ви да бъде командван, това ще става чрез peer-to-peer мрежа, подобно на някои програми за споделяне на файлове;

- записване на натиснатите клавиши и анализ за откриване на пароли за банкови сметки, онлайн игри и всичко друго, от което могат да бъдат изцедени пари;

- сканиране на машината за контакти (е-майл акаунти, ИМ акаунти и пр.), и открадването им с цел разпращане от тях на спам, вируси и/или измами, и събиране на информацията от тях за бази данни на престъпниците или на разузнавания, които ги покровителстват;

- сканиране на машината за лична информация (поща, документи, лични снимки с висок процент голота по тях) и изпращането й за съставяне на бази данни;

- шифроване на всички документи и пр. на машината, и предлагане на разшифроването им срещу заплащане;

- атакуване на "твърди" цели (компютри и мрежи на разузнавания, военни, големи и непоплюващи си корпорации и т.н.);

- съхранение и прехвърляне на открадната информация;

- уеб-сервиране на фалшиви сайтове на банки и други финансови институции (с цел крадене на пароли за сметки в тях);

- използване на машината при координиране на престъпления и/или за имитиране на съучастничество в тях (за отклоняване на вниманието от истинските извършители);

- разпространяване (чрез спам или пряк запис на документи по машината), или хостване на призиви към нетолерантност и/или тероризъм.

Наскоро от непредпазливостта си пострада мой потребител. Забелязах, че уеб сървърът ми е започнал да бълва спам - нещо сравнително нетипично за мой сървър. Огледът показа, че от овирусена машина в Бразилия някой се е логнал с неговите FTP юзер и парола и е инсталирал spam relay в сайта му.

"Добавката" бе изчистена, паролата - сменена. След това се сетих да отида до потребителя и да погледна компютъра му - естествено, също овирусен с вирус, записващ набраните юзери и пароли. Оказа се, че той знае за вируса, но не си е мръднал пръста да го изчисти - "какво толкова може да ми направи?"...

Той вече няма FTP парола при мен, колкото и да му е неприятно. По-добре евентуално да загубя един потребител, отколкото да ми блеклистнат целия сървър. Или да ми се изтърсят командоси и с месеци да лежа в ареста и да давам обяснения защо хоствам финансови измами. Вероятно в компанията на въпросния ми потребител.

Накратко - моля ви, бъдете предупредени.

Oще: facebook  trojan  youtube  вируси  компютри  кражба на информация 


Още от Общество

Webcafe.bg предупреждава, че администраторите на сайта трият коментари, които съдържат нецензурни думи, обиди по расов, етнически, религиозен, полов или сексуален признак, както и коментарите, които са на латиница.

Регистриран на: 07.06.2011, 20:35

6 dalai lamia | 02.08.201111:13

Онзи ден чистих (с външна помощ от HJT Team/Kaldata) точно този вирус от един компютър. Гадна работа. Прочетох новината за вируса в някой от новинарските сайтове и ви казах, "абе Х. като го знам как постоянно във Фейсбук виси и не внимава особено много, дали не го е лепнал..." Беше.

Единствената разлика в описаното и тук поведение беше, че на тази антивирусна не беше успял да направил клонинг и тя въобще не се стартираше/ъпдейтваше - Microsoft Security Essentials, като това е добре, защото веднага става ясно, че има вирус.
   

оценка

+0 -0

Регистриран на: 01.08.2011, 19:58

5 Anton | 01.08.201120:03

Правите рестор на системата 2-3 седмици назад и инсталирате Касперски. Това при откачен от интернет компютър. Ъпдейтвате, сканирате и май сте готови. Поне при мен стана. Ако има вещи в компютърните магии, да споделят!
   

оценка

+0 -0

Регистриран на: 01.11.2010, 16:52

4 Thea Atanasova | 01.08.201114:18

Полезна информация ама стара Усмивка от преди поне един месец...
   

оценка

+0 -0

Регистриран на: 01.08.2011, 12:29

3 Milen Cholashki | 01.08.201112:30

Браво ... между другите новини и нещо полезно Усмивка
   

оценка

+0 -0

Регистриран на: 12.10.2010, 11:52

2 Dimitar Stamboliyski | 01.08.201112:28

Мерси, това наистина е полезна статия!
   

оценка

+0 -0

Регистриран на: 15.12.2010, 11:11

1 Borracho | 01.08.201111:27

Хах, тук имало и полезни новини понякога. Поздравления!
   

оценка

+0 -0

Webcafe търси асистент-реклама

Wecafe

Екипът на WEBCAFE.bg се разширява.

Търсим асистент-реклама. Задълженията включват грижа за успешното протичане и отчитане на кампаниите, комуникация по текущите проекти с рекламни агенции и рекламодатели.

Ако имате интерес към позицията, изпратете CV на мейл: dani@webcafe.bg

Най-коментирани

Стани автор

Моливче
Изпрати текст

Изпращайте материали по темите, които ви вълнуват. Ако ни харесат, ще ги публикуваме след редакция в рубриката "Стани автор". Не публикуваме текстове, съдържащи обидни или нецензурни твърдения, квалификации, расистки определения или заплахи.