Doctor Web предупреждает о новом вредоносном ПО в Facebook

Злоумышленники, распространяющие такие вирусные продукты собственного изготовления, делают это посредством встроенного приложения, позволяющего размещать на Facebook-страницах произвольный HTML-код. Распространение программ-троянов ведется с помощью фейковых тематических групп, создаваемых в системе Facebook.

 

 

Такие программы способны принести значительный урон программному обеспечению, а зачастую и оборудованию как самой компании Facebook, так и ее пользователям. Программы-вирусы маскируют под мнимые видеоролики, при попытке воспроизведения которых и происходит переход по ссылке, ведущей к «троянцу».

 

Распространение вредоносного ПО – вот обычная цель киберзлоумышленников. На этот раз преступники, использовавшие для своих целей социальную площадку Facebook, создали не ее базе различные тематические группы с такого рода названиями: Mega Videos или Video Megas. По состоянию на вчерашний день 5 февраля 2013 года их общее количество достигало нескольких сотен штук.

 

Алгоритм, прописанный злоумышленниками, заключается примерно в следующем: в каждой из таких групп они вставляли, в виде картинки с видеороликом ссылку. Когда пользователь кликал по изображению, желая просмотреть видео о встроенном приложении соцсети, которое позволяет встраивать в интернет-страницу любой HTML-код, он запускал предусмотренную процедуру. Неожиданно появлялась страница, ни чем не отличающаяся своим видом от стандартного дизайна страниц Facebook, на которой содержалась информация с просьбой обновить проигрыватель.

 

При согласии пользователя обновить проигрыватель, в указанное место на его компьютере загружался самораспаковывающийся архив с программой-вирусом Trojan.DownLoader8.5385. При этом троянская программа, так как и все ее компоненты легитимны и имеют цифровую подпись, относящуюся к фирме Updates LTD, выданную компанией Comodo, что не вызывает ни малейшего сомнения у операционной системы, установленной на компьютере и процесс установки проходит на ура.

 

 

Эта программа является традиционным троянцем-загрузчиком, основной задачей которого является скачивание и запуск на инфицированном компьютере другого вредоносного ПО. В этой модификации предназначение вируса Trojan.DownLoader8.5385 заключается в загрузке определенных плагинов для браузерных клиентов Mozilla Firefox и Google Chrome написанных для массового распространения приглашений в разные группы Facebook. Также специалистами было выяснено, что эти программы автоматически ставили «Like»-пометки.

 

Вместе с этим стало известно, что данные программы имели еще целый ряд функциональных возможностей.

 

Возможность получить данные о пользователях сети, которые занесены в друзья инфицированного юзера, открывать доступ к альбому с фото на указанной странице, установка «лайков» на внешней ссылке либо на самой странице, возможность вступать в различные группы, приглашать своих друзей в эти группы, с целью вступления в них, возможность публикации ссылок на стенах пользователей, смена существующего статуса, открытие окна чата, присоединение к станицам различных мероприятий, рассылка приглашений на них, публикация «комментов» к постам, получение и отправка предложений.

 

Файл конфигурации с данными обо всех нужных для работы плагинах загружается на инфицированный компьютер с сервера, принадлежащего преступной команде. Эти плагины, идентифицированы, как Trojan.Facebook.310 антивирусными программами Doctor Web.

 

Помимо всего прочего этот вирусный продукт неизвестного происхождения несет в себе функцию установки вредоносной программы BackDoor.IRC.Bot.2344, которая способна произвести объединение зараженных рабочих станций в так называемые ботнеты.

 

В список, выполняемых этой программой директив, входят следующие моменты:

 

- возможность выполнять команды интерпретатора CMD.

- загрузка файла с заданного URL с последующим его помещением в указанную папку.

- возможность проверки запуска указанного процесса в команде.

- передача на удаленный сервер данных о запущенных процессах.

- возможность остановки указанного процесса.

- запуск произвольного процесса.

- загрузка и установка плагина для интернет-браузера Google Chrome.

 

Наблюдая за всем происходящим в Facebook, можно сделать выводы о том, что существующая политика безопасности на данной платформе вполне может способствовать распространению вирусных программ, наносящих вред персональным компьютерам пользователей.