От няколко дни на ползващите Фейсбук се случва нещо интересно.

Получават чрез чата му съобщение от познат им приятел, което ги кани да видят в YouTube видео. (Под предлог, че показва тях, или какъв да е друг.) При опита за отварянето на видеото получават съобщение, че Flash Player-а им е вече стар, и покана да си свалят най-новата версия. За щастие или съжаление, на видеото ги няма.

Но още на следващия ден започват да получават от Фейсбук приятелите си съобщения в стил “Абе няма ме на това видео, защо реши, че съм на него?”. Включително от хора, на които не са писали нищо от месеци. По същото време може и да забележат, че компютърът им се държи смътно странно, въпреки че всички антивируси са налице, ъпдейтнати и не откриват нищо. Ако имат някой наистина грамотен компютърно приятел, може и да им се обади с: “Какъв е този вирус, който ми прати във фейсбука?”, и да не вярва, когато му обясняват, че компютърът им не е заразен.

И с право. Защото компютърът им наистина е заразен.

Въпросният вирус е наистина качествено постижение. Изследователите още не са се спрели на общо име за него; като че ли за момента се налага Trojan.FakeAV.LVT. Заразява всички версии на Windows. Засега потребителите на Linux са в безопасност (вирусът използва уиндоуското API и е безпомощен без него). Тъй като обаче прониква на компютъра не чрез технически експлойт, а чрез социално инженерство, никоя операционна система не е защитена – дупката в сигурността всъщност е “задклавиатурното устройство”.

Както се сещате, съобщението “Flash Player-а ви е стар, свалете си нова версия” всъщност ще ви свали и инсталира вируса, ако имате глупостта да се съгласите. При инсталирането си вирусът мигновено убива антивирусните програми на компютъра ви. След това ги подменя с идентично изглеждащи копия, които наглед правят всичко (сканират компютъра, свалят ъпдейтове и т.н.), но ефектът им е само психотерапевтичен. После разпраща от ваше име на всичките ви приятели във Фейсбук съобщението с линка. Накрая започва да сваля и инсталира допълнителни модули, които разширяват функционалността му с какво ли не.

За момента пълен списък на модулите му няма (и вероятно няма как да има – сигурно киберпрестъпниците зад него непрекъснато пишат нови). Ако съдя по какво съм намирал в предишни вируси, сред модулите вероятно ще има:

- сеене на пощенски и уики спам (ако съдя по какво става последните 2 дни в уикитата и блоговете, които стопанисвам, този модул вече е активен)

- дистрибутиран C&C (command and control): вместо да има централен сървър, от който вирусът на компютъра ви да бъде командван, това ще става чрез peer-to-peer мрежа, подобно на някои програми за споделяне на файлове

- записване на натиснатите клавиши и анализ за откриване на пароли за банкови сметки, онлайн игри и всичко друго, от което могат да бъдат изцедени пари

- сканиране на машината за контакти (е-майл акаунти, ИМ акаунти и пр.), и открадването им с цел разпращане от тях на спам, вируси и/или измами, и събиране на информацията от тях за бази данни на престъпниците или на разузнавания, които ги покровителстват

- сканиране на машината за лична информация (поща, документи, лични снимки с висок процент голота по тях) и изпращането й за съставяне на бази данни

- шифроване на всички документи и пр. на машината, и предлагане на разшифроването им срещу заплащане

- атакуване на “твърди” цели (компютри и мрежи на разузнавания, военни, големи и непоплюващи си корпорации и т.н.)

- съхранение и прехвърляне на открадната информация

- уеб-сервиране на фалшиви сайтове на банки и други финансови институции (с цел крадене на пароли за сметки в тях)

- използване на машината при координиране на престъпления и/или за имитиране на съучастничество в тях (за отклоняване на вниманието от истинските извършители)

- разпространяване (чрез спам или пряк запис на документи по машината), или хостване на призиви към нетолерантност и/или тероризъм

Наскоро от непредпазливостта си пострада мой потребител. Забелязах, че уеб сървърът ми е започнал да бълва спам – нещо сравнително нетипично за мой сървър. Огледът показа, че от овирусена машина в Бразилия някой се е логнал с неговите FTP юзер и парола и е инсталирал spam relay в сайта му. “Добавката” бе изчистена, паролата – сменена. След това се сетих да отида до потребителя и да погледна компютъра му – естествено, също овирусен с вирус, записващ набраните юзери и пароли. Оказа се, че той знае за вируса, но не си е мръднал пръста да го изчисти – “какво толкова може да ми направи?”… Той вече няма FTP парола при мен, колкото и да му е неприятно. По-добре евентуално да загубя един потребител, отколкото да ми блеклистнат целия сървър. Или да ми се изтърсят командоси и с месеци да лежа в ареста и да давам обяснения защо хоствам финансови измами. Вероятно в компанията на въпросния ми потребител.

Накратко – моля ви, бъдете предупредени.

Източник

Този пост беше повишен в статия

На един мой приятел му писаха в чата в facebook да си даде паролата на имейла той естествено не я е дал и след няколко секунди му изписало моля влезте в акаунта си в facebook,докато е вътре.Опитал се да се логне,но не станало също и пощата му замина.Чрез чата мисля крадат акаунти.

Един съвет от неспециалист към други като мен, който със сигурност сте чували, но не вреди да се повтори. Наскоро и аз видях такъв линк във фейсбук, но не беше клипче с мой приятел, а някакъв клип с уж изтекла информация за компания от чиито продукти се интересувам. Естествено получих съобщението да сваля новата версия на флаш плеъра, но се сетих да погледна адреса, в който се намирам в момента - беше някаква измислица и нямаше httpS отпред. Иначе сайтът си беше едно идеално копие на YouTube и по външния вид човек не мисля, че ще се осъмни.

Че той YouTube няма https.

Сигурен ли си?

Абе аз пак да питам - този вирус ходи ли по Мак-овете? Що ми се струва че само Виндовс потребителите реват тук?

Сигурен ли си?

Еми влизам в YouTube и не ми дава https. Трябва да се логна ли за да излезе?

П.П. Сега се логнах и пак не влизам с https...

Е, ако ти дойде съобщението го приеми, та да видим дали ще ревеш и ти!

Аз линк към вируса имам. Да ти направя ли видео как безстрашно кликам на него?

Интересно нещо се случи с акаунта на брат ми в Скайп и абв-мейла. Бяха хакнати и сега не може да ги ползва. Сменена му е паролата. Някой ако има информация как да се предпазим от подобни нашествия да сподели!

Не използвай АБВ за електронна поща. Администратор съм в една игра и при нас масово се крадат паролите на АБВ пощи, след което крадат и акаунта в играта. Явно са много лесни за разбиване АБВ-то.