Новый вирус в сети Facebook
Компания «Доктор Веб» предупреждает о новой волне распространения вредоносных программ среди пользователей популярной социальной сети.
Злоумышленники задействуют встроенное приложение, позволяющее размещать на страницах «Фейсбука» произвольный HTML-код. Для распространения троянцев используются специально созданные для этих целей тематические группы, в которых размещаются замаскированные под видеоролик ссылки на вредоносное приложение. С целью распространения вредоносного ПО в социальной сети Facebook создаются специальные тематические группы (например, Videos Mega или Mega Videos), на 5 февраля 2013 года общая численность их членов достигала нескольких сотен. В каждой из групп размещена имитирующая видеоролик ссылка на встроенное приложение социальной сети, позволяющее встраивать в веб-страницу произвольный HTML-код.
При попытке просмотра видео активизируется заранее созданный сценарий, в результате чего на экране появляется диалоговое окно с предложением обновить встроенный в браузер видеопроигрыватель, причем оформление данного окна копирует дизайн страниц социальной сети «Фейсбук».
Если пользователь соглашается установить обновление, на его компьютер загружается самораспаковывающийся архив, содержащий вредоносную программу Trojan.DownLoader8.5385. При этом троянец (как и другие загружаемые им компоненты) имеет легитимную цифровую подпись, выданную на имя фирмы Updates LTD компанией Comodo, поэтому в процессе своей установки вредоносные приложения не вызывают подозрений у операционной системы.
Trojan.DownLoader8.5385 — это традиционный троянец-загрузчик, основная задача которого заключается в скачивании на инфицированный компьютер и запуске другого вредоносного ПО. В данном случае троянец загружает плагины для браузеров Google Chrome и Mozilla Firefox, предназначенные для массовой рассылки приглашений в различные группы Facebook, а также для автоматической установки пометок «Like» в данной социальной сети.
Среди прочего эти плагины могут:
получать данные о пользователях Facebook, занесенных в список друзей жертвы,
устанавливать пометку Like на странице социальной сети или на внешней ссылке,
открывать доступ к фотоальбому на заданной странице,
вступать в группы,
рассылать пользователям из списка друзей приглашения о вступлении в группу,
публиковать ссылки на «стене» пользователей,
изменять статус,
открывать окна чата,
присоединяться к страницам мероприятий,
рассылать пользователям приглашения на мероприятия,
публиковать комментарии к постам,
получать и отправлять предложения.
Помимо этого Trojan.DownLoader8.5385 устанавливает на инфицированный компьютер вредоносную программу BackDoor.IRC.Bot.2344, способную объединять зараженные рабочие станции в ботнеты. Этот троянец реализует функции backdoor (программа, которые устанавливает взломщик на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе.) и способен выполнять различные команды, передаваемые ему с использованием протокола обмена текстовыми сообщениями IRC (Internet Relay Chat), для чего бот подключается к специально созданному злоумышленниками чат-каналу.
Источник: DrWeb