Dnešní update bezpečností zprávy od McAfee udává, že nová varianta červa Koobface se opět vyskytla na Facebooku.
A jak se červ šíří? Prostřednictvím odkazů na podvržené webové stránky. Odkazy jsou přibaleny do zpráv, které si posílají uživatelé Facebooku.
Když uživatel klikne na podvržený odkaz, vyskočí mu chybové oznámení, které navádí ke stažení "novější" verze Adobe Flash. Update to pochopitelně není skutečný, instalace zavede do vašeho systému červ Koobface, pokud ji potvrdíte.
Nsledně se červ zkopíruje do složky s instalací Windows (standardně C:\Windows) jako program freddy35.exe.
Mj. navazuje spojení na následujících doménách, se kterými se snaží komunikovat pomocí HTTP žádostí:
1dns2[blocked].com
temp2[blocked].com
wm210[blocked].com
open21[blocked].com
er21[blocked].com
websrv[blocked].com
rserve[blocked].org
94.142.129.[blocked]
Tato komunikace má pochopitelně za následek stažení dalšího malware do vašeho počítače:
STARTONCE|http://www.blankpages.be/[blocked]/websrvx.exe
START|http://www.blankpages.be/[blocked]/captcha6.exe
STARTONCE|http://www.blankpages.be/[blocked]/kaka.exe
FBTARGETPERPOST|10
RAZLOG|1
#BLACKLABEL
Červ podle původní zprávy od bezpečnostní společnosti Trend Micro krade z cookies uložených v prohlížeči vaše přihlašovací údaje k následujícícm službám: Bebo.com, Facebook, Friendster, fubar.com, hi5.com, LiveJournal, MySpace, myYearbook, Netlog a Tagged.
Buďte velmi opatrní a neotvírejte adresy, kterým nedůvěřujete!
Pro rychlou kontrolu bezpečnosti libovolné webové adresy můžete použít např. online scan na webu Symantecu.
Edit (4.3.2009):
Odkazy navádějí na přehrání streamovaného videa. Zprávy s těmito odkazy vám přijdou od vašich přátel, kteří si do počítače podvrženou aktualizaci stáhli. Červ by se takto mohl začít šířit jako řetězová lavina. Červ kromě posílání zpráv dokáže ovládat nakažený systém.
Takto nějak vypadá podvržená stránka, otevřená z odkazu v automaticky rozesílané zprávě:
Další zdroje k tématu:
2.3.2009, Lupa
2.3.2009, ComputerWorld
Žádné komentáře:
Okomentovat