Αρχική » Social Media » Facebook » [ΚΥΚΛΟΦΟΡΕΙ ΤΩΡΑ] Επιθετικό κακόβουλο πρόγραμμα στο Facebook μέσω μηνύματος αλλά αποτυχημένη προσπάθεια

[ΚΥΚΛΟΦΟΡΕΙ ΤΩΡΑ] Επιθετικό κακόβουλο πρόγραμμα στο Facebook μέσω μηνύματος αλλά αποτυχημένη προσπάθεια

malware-virus-security

Μην ξεχνάτε να μας επισκεφτείτε στην σελίδα μας στο Facebook πατώντας στο https://www.facebook.com/Mpes.Sto.Internet.Me.Aleksisfairo  κάνοντας Like για να ενημερώνεστε εύκολα και γρήγορα για θέματα που αφορούν την ασφάλεια σας αλλά και την ασφάλεια των παιδιών σας στο διαδίκτυο αλλά και για να μαθαίνετε για τις απάτες και τα ψέματα που κυκλοφορούν στο διαδίκτυο .  Συμβάλουμε όλοι στην ενημέρωση των συνανθρώπων μας , μαθαίνουμε για τα ψέματα και τις απάτες στο ίντερνετ , μαθαίνουμε να χρησιμοποιούμε σωστά το διαδίκτυο , προστατεύουμε τα παιδιά μας και εμάς  . Η προστασία των χρηστών αποτελεί κοινή ευθύνη. Η χρήση των καλύτερων τεχνολογιών και τεχνικών ασφαλείας είναι προς όφελος όλων . Για οποιαδήποτε απορία μπορείτε να κάνετε αίτημα φιλίας και στο προφίλ της σελίδας αυτής στο Facebook πατώντας ΕΔΩ αλλά και να μπείτε και στην ομάδα μας στο Facebook για απορίες , διάλογο κ.α πατώντας ΕΔΩ

Για άλλη μια φορά οι απατεώνες ξαναχτύπησαν και ένας νέος  ιός κυκλοφορεί αυτή τη στιγμή στο Facebook .  

Ας πάρουμε όμως τα πράγματα από την αρχή.

Ο ιος έρχεται μέσα σε ένα .zip αρχείο όπως φαίνεται στην παρακάτω φωτογραφία . Το όνομα του μπορεί να είναι τυχαίο και να έρχεται με διαφορετικό κάθε φορά.

fb.zip

Το συγκεκριμένο αρχείο που εξετάσαμε ονομάζεται Form_0910.zip . To zip περιέχει ένα εκτελέσιμο αρχείο .jar (αρχείο Java) το οποίο δεν το αναγνωρίζουν τα antivirus (το σκανάραμε με δύο διαφορετικά και δεν «χτύπησε»).

Το αρχείο jar περιέχει τα ακόλουθα αρχεία

Φάκελος .settings

Φάκελος META-INF

.classpath

.project

και το κακόβουλο αρχείο (κρυπτογραφημένο) DOYUMGEOGFVKNBO.class

1jar

Αν κάποιος τρέξει το αρχείο,jar, το malware θα δημιουργήσει ένα φάκελο στο C:\ με το όνομα temp. Με το που δημιουργήσει τον φάκελο αρχίζει να κατεβάζει ένα μεγάλο εκτελέσιμο αρχείο των Windows (.exe). Στη δική μας περίπτωση το όνομα του αρχείου ήταν QNIDSUE.VZZ, αλλά αυτό δεν παίζει καμία σημασία καθώς το όνομα ήταν τυχαίο. Το μέγεθος του αρχείου μας έκανε εντύπωση καθώς ήταν 3.8MB, αρκετά μεγάλο για κακόβουλο πρόγραμμα.

Το κακόβουλο exe αναγνωρίστηκε από το ESET σαν Win32/Injector.AZFL trojan,  http://www.virusradar.com/en/Win32_Injector.AZFL/description  ένα αρκετά νέο κακόβουλο λογισμικό για την ESET που το κατέγραψε για πρώτη φόρα 7 Μαρτίου του 2014.

Το exe περιέχει περιέχει πολλά υποπρογράμματα (είναι ένα είδους wrapper), άρα μπορεί να εκτελέσει και πολλές λειτουργίες.  Μπορεί να στείλει emails, να συνδεθεί με ftps, περιέχει πολλά σημεία με username και passwords, κάτι που μας δείχνει ότι μπορεί να συνδεθεί σε απομακρυσμένους υπολογιστές και να κατεβάσει και άλλα αρχεία.

Ένα από τα πιο επικίνδυνα χαρακτηριστικά του είναι ότι μπορεί να διαβάσει τα cookies του υπολογιστή του θύματος. Αυτό σημαίνει ότι μπορεί να κλέψει όλους τους κωδικούς που είναι αποθηκευμένοι στον υπολογιστή.

Όμως δεν τελειώνει εδώ.

Υπάρχει άλλο ένα αρχείο, το pthreads.dll. Το συγκεκριμένο .dll, χρησιμοποιείται για να δει κάποιος τι τρέχουν τα Windows. Ο task manager των Windows τρέχει το ίδιο dll. Αυτό μπορεί να χρησιμέψει στον κακόβουλο χρήστη για διαφορετικά πράγματα.

1. να δει τι τρέχει ο υπολογιστής του θύματος και αναλόγως να προσαρμόσει την επίθεση,  ή

2. να κρύψει το κακόβουλο πρόγραμμα από τις διεργασίες των Windows.

Στο κακόβουλο πρόγραμμα ανακαλύψαμε το όνομα stefan και μάλλον είναι το όνομα ή το ψευδώνυμο του developer του κακόβουλου προγράμματος καθώς υπήρχε ένα path από τον compiler με αυτό το όνομα.

Αν έχετε τρέξει το jar, αναζητήστε στον δίσκο που είναι εγκατεστημένα τα Windows για ένα φάκελο temp. Διαγράψτε το φάκελο και σκανάρετε όλο το σύστημα σας, με ένα αξιόπιστο και ενημερωμένο antivirus.

Προσοχή σε αυτόν τον ιό  που σκοπεύει στην κλοπή των διαπιστευτηρίων σας .  O ιός αν και έρχεται σε αρχείο που μπορεί να εκτελεστεί σε όλες της πλατφόρμες, προσβάλει μηχανήματα με Windows.

Ο έλεγχος που κάναμε με την VirusTotal είναι εδώ. (last) και Real εδώ

Και η ανάλυση από το Malwr

Πηγή : iguru.gr

Ανανέωση άρθρου :

 Το Secnews  έκανε την περαιτέρω εξέταση του ιού . Η γνώμη των φίλων μας από το SecNews είναι ότι ο συγγραφέας του ιού, απλά δεν γνωρίζει προγραμματισμό.Aποτυχημένη προσπάθεια

 

 

Θέλετε να ενημερώνεστε για όλα τα τελευταία άρθρα μας για την ασφάλεια σας στο ιντερνετ , τις απάτες και τα ψέματα του ίντερνετ, γρήγορα και εύκολα, επισκεφτείτε τη σελίδα μας στο facebook πατώντας ΕΔΩ και ενισχύστε μας πατώντας Like (μου αρέσει) ή μπείτε στην ομάδα μας πατώντας ΕΔΩ ή ακόμα και αίτημα φιλίας στο προφίλ στο Facebook πατώντας ΕΔΩ

Δείτε επίσης

Νικητές διαγωνισμού Bitdefender Total Security Multi-Device 2017

Ποιος είπε ότι για την αποτελεσματική προστασία του υπολογιστή σου θα χρειαστεί να μπλέξεις με …