Na Facebooku grasuje nowy wirus, który jest rozprzestrzeniany za pośrednictwem zakażonych fanpage’y.
Rosyjska firma antywirusowa Doctor Web ostrzega przed złośliwym oprogramowaniem, które pojawiło się na Facebooku. Trojan jest rozprzestrzeniany za pomocą specjalnych fanpage’y i linków, które zamiast odsyłać do materiałów filmowych, uruchamiają szkodliwe skrypty.
W chwili obecnej na Facebooku działa już ponad kilkaset stron o nazwach pokroju Videos Mega lub Mega Videos, które serwują użytkownikom złośliwy link ukryty pod obrazkiem Adobe Flash Player. Pod żadnym pozorem z nich nie korzystajcie, bo może to doprowadzić do przykrych i niebezpiecznych konsekwencji.
Kliknięcie w taki link skutkuje uruchomieniem skryptu, który w sposób nie budzący podejrzeń zachęca do przeprowadzenia aktualizacji tej wtyczki. Jeśli użytkownik się zgodzi, na jego komputer zostaną pobrane samorozpakowujące się pliki zawierające Trojan.DownLoader8.5385. Trojan zawiera wiarygodny podpis cyfrowy wydany w imieniu firmy Updates LTD, w związku z czym instalacja może nie uaktywnić alarmów bezpieczeństwa na komputerach niezabezpieczonych odpowiednim programem antywirusowym.
Trojan DownLoader8.5385 jest typowym złośliwym programem, którego zadaniem jest pobranie i uruchomienie innych szkodliwych plików na zainfekowanym komputerze. Program pobiera wtyczki dla przeglądarek internetowych Google Chrome i Mozilla Firefox. Wtyczki te zostały zaprojektowane do wysyłania zaproszeń do różnych grup na Facebooku i “polubienia” postów na portalu społecznościowym. Dodatkowo, złośliwe rozszerzenia mogą przyczynić się do:
- zbierania informacji na temat użytkowników Facebooka znajdujących się na “liście znajomych” posiadacza zainfekowanego systemu
- “polubienia” stron społecznościowych lub materiałów zewnętrznych
- dzielenia się albumem ze zdjęciami na danej stronie
- dołączenia do grup
- wysyłania zaproszeń “dołącz do grupy” do użytkowników z “listy znajomych”
- zamieszczania linków na wallu użytkownika
- zmiany statusu użytkownika
- otwierania okienek czatu
- dołączenia do aktywności na Facebooku
- zapraszania użytkowników do aktywności
- postowania komentarzy
- odbierania i wysyłania sugestii
Trojan.DownLoader8.5385 instaluje również na zainfekowanym systemie wirusa BackDoor.IRC.Bot.2344 . Z kolei ten trojan może włączyć zainfekowane komputery do botnetu i wykonać różne komendy wysyłane przez specjalny kanał IRC stworzony przez przestępców. Dyrektywy, które mogą być wykonywane przez BackDoor.IRC.Bot.2344 obejmują:
- wykonanie komend CMD
- pobranie pliku z określonej lokalizacji w Internecie i umieszczenie go w wyznaczonym folderze lokalnym
- sprawdzenie, czy proces wyznaczony w dyrektywie jest uruchomiony
- wysłanie listy uruchomionych procesów zebranych za pomocą narzędzia tasklist.exe do zdalnego serwera
- wyłączenie wyznaczonego procesu
- uruchamianie dowolnej aplikacji
- pobranie i zainstalowanie wtyczek do Google Chrome za pomocą określonego URL