Virus Sality krišom preotima Facebook nalog i instalira aplikaciju VIP Slots

Društvene mreže, 15.04.2011, 09:22 AM

Kada su pre nekoliko meseci, operateri P2P bot mreže Sality započeli distribuciju novog štetnog programa koji ne samo da je prikupljao korisnička imena i lozinke i slao ih C&C (command and control) serverima, nego je dodatno memorisao verifikacione podatke Facebook, Blogger i MySpace korisnika u obliku šifrovanog fajla na zaraženom računaru, nikom nije bilo jasno čemu bi takvi fajlovi mogli da posluže u budućnosti. U to vreme, stručnjaci kompanije Symantec razmatrali su kakvu bi svrhu mogli imati ovi enkriptovani fajlovi a njihove pretpostavke išle su u pravcu teorije da će oni poslužiti nekom budućem malicioznom kodu, što se ove nedelje pokazalo tačnim. Sality, kompjuterski virus čija je primarna svrha postojanja preuzimanje i izvršenje drugih štetnih programa, preuzeo je novi virus koji je izvukao enkriptovani fajl i verifikacione podatke iz njega.

Kada pronađe podatke, program kontaktira C&C centar koji se nalazi na Floridi (74.50.119.59) i zahteva “action script” čija je svrha automatizacija aktivnosti Internet Explorer-a. Potom malware posećuje facebook.com, i prijavljuje se na nalog sa korisičkim imenom i lozinkom koje je ranije prikupio i umemorisao.

Preotimajući Facebook nalog na taj način, štetni program daje dozvolu za pristup podacima aplikaciji koja je aktivna nekoliko godina unazad - VIP Slots. Na kraju, da bi prikrila tragove skripta zatvara browser.

Istraživači iz Symantec-a kažu da aplikacija VIP Slots traži dozvolu za pristup samo osnovnim podacima profila, i kako se čini, sama po sebi nije štetna. Međutim, ona nudi obilje mogućnosti za pravljenje štete.

Istraživači kažu da ono što sad vidimo od virusa nije njegov krajnji cilj i domet. Može se očekivati agresivan spam, kažu stručnjaci (npr. objave aplikacije u news feed-u), ili privlačenje drugih korisnika da koriste aplikaciju, zatim finansijske prevare (kupovina virtuelnog kredita, na primer).

Međutim, pomenuta skripta nije jedina koju malware zahteva od servera. Još jedna je u igri, ali ona može biti mnogo opasnija od prve jer je njeno prisustvo u Internet Explorer-u nevidljivo. Ona preko Internet Explorera pretražuje google.com sa ključnim rečima “auto insurance bids”, i nakon završene pretrage browser se zatvara. Istraživači veruju da je ta skripta samo eksperiment autora Sality virusa koji pokazuje da oni razmišljaju korak unapred.

Prva skripta može biti vrlo delotvorna u infekciji kompjuterskih sistema Facebook korisnika. S obzirom da se zna da Sality raspolaže mogućnosšću isključivanja antivirusnog softvera i prikrivanja sopstvenog prisustva na zaraženom računaru, samo pregled opcija Facebook Apps i Podešavanja privatnosti može otkriti korisniku da li je aplikacija VIP Slots među ostalim Facebook aplikacijama. Ukoliko se ispostavi da jeste, a korisnik prethodno nije dao autorizaciju ovoj aplikaciji, to može značiti samo jedno - da je računar zaražen Sality virusom.