Új Facebook féreg terjed

2011. december 01. 18:43 - Csizmazia Darab István [Rambo]

Ilyen címmel manapság már nem is érdemes posztot írni, Index címlapra talán csak valamiféle "Óriási szenzáció, ma nem terjedt semmilyen féreg a Facebookon" szalagcím predesztinálhatna. Hacsak az illető kártevőnek nincs valami különleges tulajdonsága. Nos akkor szerencsére rendben vagyunk, mert van neki.

Dán kutatók észlelték először azt a Facebookon terjedő férget, amely az adott felhasználó nevében bejelentkezve spam üzeneteket küld a barátoknak, ismerősöknek. A továbbított üzenet mindössze egy URL-t tartalmaz, amely egy izraeli szerverre mutató link.

Erre a linkre kattintva a felhasználók a mellékelt képet látják, ami látszólag egy képernyővédő (screensaver). Letöltése és futtatása azonban nem javasolt, mert kártékony kódot tartalmaz. A kártevőt Visual Basic 6.0 segítségével készítették, és az elemzések szerint számos visszafejtés elleni trükköt tartalmaz, például érzékeli az elemzéskor használt virtuális környezeteket, mint amilyen a VMware, Sandboxie vagy a VirtualBox. És itt következik a beharangozóban emlegetett érdekesség: az elemzés szerint a kártevő még egy sereg további kártékony kódot hoz létre a fertőzött gépen, vagy ahogy Peter Kruse biztonsági szakértő fogalmaz: egy komplett malware koktélt igyekszik elhelyezni. Ezek között leginkább az adatlopó Zeus trójai lehet a legismertebb és egyben a legveszélyesebb.

Bár a VirusTotal riportja szerint eleinte nem volt teljes a mezőny felismerése, David Harley blogjában rámutatott, az ESET programja már a kezdeti időszakban is sikeresen detektálta azt a proaktív felismerés segítségével Win32/Injector.LML néven. Mostanra pedig a konkrét minta elemzése végeztével Win32/TrojanDownloader.Small.PFD néven került bele a NOD32 vírusadatbázisba.

Ennek is lehet örülni, de ami még ugyanilyen fontos lehet a jövőben, hogy a semmilyen kísérő szöveget, hanem csak csupasz linket tartalmazó üzeneteket soha ne nyissuk meg. De ugyanerre az óvatosságra van szükség akkor is, ha a kéretlen üzenetben "Hey dude, check this out", "98 Percent of People Cant Watch This Video" és hasonló tipikus beugrató szöveget lehet olvasni. Letöltéseinket - még a képernyővédőét is - kizárólag megbízható helyről intézzük, és magunk közt szólva egy kéretlen üzenetben, kísérőszövegnélküli URL-ben érkezett screensaver semmilyen szempontból nem tekinthető megbízható forrásnak, ezért legyünk tehát mindig gyanakvóak, alaposak és óvatosak.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr543429643

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.