Карыстальнікаў «Фэйсбука» папярэджваюць пра новы вірус

Кампанія «Доктар Вэб» папярэджвае пра новую хвалю распаўсюджвання шкоднасных праграм сярод карыстальнікаў папулярнай сацыяльнай сеткі.

На гэты раз для сваіх мэтаў зламыснікі задзейнічаюць убудаванае прыкладанне, якое дазваляе размяшчаць на старонках «Фэйсбука» адвольны HTML-код.

Для распаўсюджвання траянцаў выкарыстоўваюцца фэйкавыя тэматычныя групы, у якіх размяшчаюцца замаскіраваныя пад відэаролік спасылкі на шкоднаснае прыкладанне, паведамляе сайт кампаніі.

З мэтай распаўсюджвання шкоднаснага ПА кіберзлачынцы стварылі ў сацыяльнай сетцы Facebook мноства тэматычных груп з назвай Videos Mega або Mega Videos: на 5 лютага 2013 года іх агульная колькасць дасягала некалькіх соцень. У кожнай з такіх груп зламыснікі размясцілі замаскіраваную пад відэаролік спасылку на ўбудаванае прыкладанне сацыяльнай сеткі, якое дазваляе ўбудоўваць у вэб-старонку адвольны HTML-код. Наведвальнік групы, жадаючы праглядзець правакацыйнае відэа, ляскаў мышшу на мініяцюры відэароліка, актывуючы тым самым загадзя створаны кіберзлачынцамі сцэнар. У выніку гэтага дзеяння на экране адлюстроўвалася дыялогавае акно з прапановай абнавіць убудаваны ў браўзэр відэапрайгравальнік, прычым афармленне дадзенага акна капіюе дызайн старонак сацыяльнай сеткі «Фэйсбук».

Калі карыстач пагаджаецца ўсталяваць абнаўленне, на яго кампутар загружаецца самараспакоўны архіў, які змяшчае шкоднасную праграму Trojan.DownLoader8.5385. Пры гэтым траянец (як і іншыя загружаныя ім кампаненты) мае легітымны лічбавы подпіс, выдадзены на імя фірмы Updates LTD кампаніяй Comodo, таму ў працэсе сваёй усталёўкі шкоднасныя прыкладанні не выклікаюць падазрэнняў у аперацыйнай сістэмы.

Trojan.DownLoader8.5385 - гэта традыцыйны траянец-загрузнік, асноўная задача якога заключаецца ў запампоўцы на інфікаваны кампутар і запуску іншага шкоднаснага ПА. У дадзеным выпадку траянец загружае плагіны для браўзэраў Google Chrome і Mozilla Firefox, прызначаныя для масавага рассылання запрашэнняў у розныя групы Facebook, а таксама для аўтаматычнай устаноўкі пазнак Like у дадзенай сацыяльнай сетцы.

Канфігурацыйны файл з усімі неабходнымі для працы плагінаў дадзенымі загружаецца на заражаны ПК з сервера, які належыць зламыснікам. Паказаныя плагіны дэтэктуюцца антывірусным ПА Dr.Web як Trojan.Facebook.310.

Акрамя гэтага Trojan.DownLoader8.5385 усталёўвае на інфікаваны кампутар шкоднасную праграму BackDoor.IRC.Bot.2344, якая можа аб'ядноўваць заражаныя працоўныя станцыі ў ботнеты. Гэты траянец рэалізуе функцыі бэкдора і здольны выконваць розныя каманды, якія перадаюцца яму з выкарыстаннем пратаколу абмену тэкставымі паведамленнямі IRC (Internet Relay Chat), для чаго бот падключаецца да спецыяльна створанага зламыснікамі чат-канала.