UPOZORENJE: Trojanac u porukama na Facebook-u uklanja antivirus sa računara

Opisi virusa, 26.07.2011, 12:16 PM

UPOZORENJE: Trojanac u porukama na Facebook-u uklanja antivirus sa računara

Proizvođač antivirusnog softvera BitDefender upozorio je korisnike Facebook-a na pojavu novog malicioznog programa kojeg su stručnjaci kompanije identifikovali kao Trojan.FakeAV.LVT. Trojanac za svoje širenje koristi tehniku društvenog inženjeringa čiji scenario izgleda otrpilike ovako: prijatelj potencijalne žrtve započinje razgovor preko Facebook chat-a na engleskom jeziku a poruke obično izgledaju ovako: “Hi. How are you?”, “It is yu on the video?” ili “Want to see?”, a potom se žrtvi nudi link ka kompromitujućem video snimku na kome se na navodno ona/on nalazi.

Link vodi žrtvu na YouTube stranicu sa snimkom koji je spomenut u razgovoru a u naslovu video snimka nalazi se ime korisnika koje je napisano bez greške jer je preuzeto sa Facebook-a. To je očigledno dovoljno ubedljivo za uplašenog korisnika. Dodatno, imena nekih Facebook korisnika sa liste prijatelja žrtve se nalaze među komentatorima video snimka, što još više prestrašuje žrtvu koja u tom trenutku počinje da veruje da se zaista nalazi na video snimku koji je razočarao njegove/njene prijatelje, sudeći po komentarima koji prate snimak.

Da bi video snimak, za čiji je pregled sada korisnik bez sumnje zainteresovan, od njega se traži da preuzme novu verziju Flash Player-a jer je ona koju već ima zastarela. Kada klikne na ponuđeni link, prvi deo scenarija je završen - korisnik je preuzeo izuzetno “podmuklog” Trojanca, kažu u BitDefender-u.

Uskoro će Trojanac kojeg je žrtva preuzela započeti da pravi štetu na sistemu korisnika. Štetni kod se u računaru nalazi pod nazivom koji ne izgleda sporno na prvi pogled jer je maskiran kao Flash Player. On se kopira kao %windir%\services32.exe i %windir%\update.X\svchost.exe, gde je update skriveni direktorijum a X je verzija Trojanca. Potom dodaje registry key u %SYSTEM% i tako se štetni kod dodaje na listu autorizovanih programa zaštitnog zida Windows-a (firewall) i istovremeno isključuje firewall. Trojanac isključuje tako sva obaveštenja koja uobičajeno daje firewall, onemogućava ažuriranje i funkcionisanje bilo kog antivirusnog programa koji se nalazi instaliran na računaru korisnika. Tako računar korisnika ostaje bez bilo kakve zaštite.

Lažne antiviruse je najčešće lako prepoznati kada je računar već zaražen. Oni su poznati po uobičajenom scenariju: korisnik preuzima lažni antivirus zato što je zastrašen upozorenjima koja se pojavljuju u prozorima koji iskaču i u kojima se korisnik obaveštava da je njegov računar navodno zaražen. Međutim, u slučaju ovog Trojanca, razvoj događaja je malo drugačiji. Ovaj maliciozni program je “kameleon” koji se ponaša na sličan način kao i antivirus kojeg otkrije na računaru. I to važi za većinu antivirusnih programa koji nešto znače na tržištu. On detektuje antivirus na računaru pa i jezik interfejsa koji je korisnik odabrao. Poruke koje šalje korisniku su veoma slične onima na koje je korisnik navikao da dobija od originalnog antivirusnog programa.

Kako bi računar korisnika ostao potpuno nezaštićen, sledi još jedan korak ka tom cilju. Trojanac objavljuje još jedno upozorenje u pop-up prozoru i ljubazno traži od korinika da restartuje sistem kako bi započeo proces čišćenja računara od infekcije. Ali pre toga, on čeka da se instalirani antivirusni program ukloni sa računara (deinstalacija), a potom pomoću originalnog Microsoft-ovog fajla bcdedit.exe daje instrukcije sistemu da se pokrene u safe modu nakon restarta.

Sada malware iz safe moda kreira sledeći registry key: "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell = %windir%\services32.exe". Pravi antivirus je uspešno uklonjen sa računara, a Trojanac još jednom koristi bcdedit.exe za izvršenje “BCDEDIT /deletevalue safeboot /set safebootalternateshell false”. Posle sledećeg restartovanja, računar radi u normalnom modu.

Trojanac ima i downloader komponentu koja mu omogućava preuzimanje fajlova sa različitih URL adresa zavisno od verzije zaraženog operativnog sistema. Drugim rečima, Windows Vista će preuzimati fajlove sa različitih lokacija od onih sa kojih fajlove preuzima Windows XP.

Trojanac ima i listu IP adresa, koje uključuju IP adrese drugih zaraženih sistema pa sistem distribucije i ažuriranje Trojanca oslanja i na P2P. Ove IP liste se konstantno ažuriraju čime je obezbeđen kontinuirani kontakt zaraženih sistema i regularno ažuriranje malicioznog koda.

Ekipa Informacije se zahvaljuje Goranu Milojeviću iz Ambulante MyCity foruma na pomoći i ukazivanju na ovaj problem koji poslednjih dana učestalo pogađa korisnike srpske mreže Facebook-a. Za dodatne informacije i pomoć možete se obratiti članovima tima Ambulante na adresi: http://www.mycity.rs/Ambulanta/.

Korisnicima savetujemo da budu oprezni i dobro razmisle pre nego što kliknu na bilo kakav link na koji naiđu na Facebook-u, čak i ukoliko link dolazi u poruci koju im šalje neko od prijatelja sa Facebook-a.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Čudni malver sprečava zaražene da posećuju piratske sajtove

Čudni malver sprečava zaražene da posećuju piratske sajtove

Sajber kriminalci često koriste piratski softver za širenje malvera inficirajući one koji misle da preuzimaju najnoviju igru ili film. Međutim, is... Dalje

Microsoft upozorio na lažni ransomware StrRAT

Microsoft upozorio na lažni ransomware StrRAT

Microsoft je na Twitteru upozorio korisnike na malver StrRAT koji krade lozinke sa zaraženog sistema, ali zanimljivo je da pored toga malver nazivima... Dalje

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje