UPOZORENJE: Trojanac u porukama na Facebook-u uklanja antivirus sa računara

Opisi virusa, 26.07.2011, 12:16 PM

UPOZORENJE: Trojanac u porukama na Facebook-u uklanja antivirus sa računara

Proizvođač antivirusnog softvera BitDefender upozorio je korisnike Facebook-a na pojavu novog malicioznog programa kojeg su stručnjaci kompanije identifikovali kao Trojan.FakeAV.LVT. Trojanac za svoje širenje koristi tehniku društvenog inženjeringa čiji scenario izgleda otrpilike ovako: prijatelj potencijalne žrtve započinje razgovor preko Facebook chat-a na engleskom jeziku a poruke obično izgledaju ovako: “Hi. How are you?”, “It is yu on the video?” ili “Want to see?”, a potom se žrtvi nudi link ka kompromitujućem video snimku na kome se na navodno ona/on nalazi.

Link vodi žrtvu na YouTube stranicu sa snimkom koji je spomenut u razgovoru a u naslovu video snimka nalazi se ime korisnika koje je napisano bez greške jer je preuzeto sa Facebook-a. To je očigledno dovoljno ubedljivo za uplašenog korisnika. Dodatno, imena nekih Facebook korisnika sa liste prijatelja žrtve se nalaze među komentatorima video snimka, što još više prestrašuje žrtvu koja u tom trenutku počinje da veruje da se zaista nalazi na video snimku koji je razočarao njegove/njene prijatelje, sudeći po komentarima koji prate snimak.

Da bi video snimak, za čiji je pregled sada korisnik bez sumnje zainteresovan, od njega se traži da preuzme novu verziju Flash Player-a jer je ona koju već ima zastarela. Kada klikne na ponuđeni link, prvi deo scenarija je završen - korisnik je preuzeo izuzetno “podmuklog” Trojanca, kažu u BitDefender-u.

Uskoro će Trojanac kojeg je žrtva preuzela započeti da pravi štetu na sistemu korisnika. Štetni kod se u računaru nalazi pod nazivom koji ne izgleda sporno na prvi pogled jer je maskiran kao Flash Player. On se kopira kao %windir%\services32.exe i %windir%\update.X\svchost.exe, gde je update skriveni direktorijum a X je verzija Trojanca. Potom dodaje registry key u %SYSTEM% i tako se štetni kod dodaje na listu autorizovanih programa zaštitnog zida Windows-a (firewall) i istovremeno isključuje firewall. Trojanac isključuje tako sva obaveštenja koja uobičajeno daje firewall, onemogućava ažuriranje i funkcionisanje bilo kog antivirusnog programa koji se nalazi instaliran na računaru korisnika. Tako računar korisnika ostaje bez bilo kakve zaštite.

Lažne antiviruse je najčešće lako prepoznati kada je računar već zaražen. Oni su poznati po uobičajenom scenariju: korisnik preuzima lažni antivirus zato što je zastrašen upozorenjima koja se pojavljuju u prozorima koji iskaču i u kojima se korisnik obaveštava da je njegov računar navodno zaražen. Međutim, u slučaju ovog Trojanca, razvoj događaja je malo drugačiji. Ovaj maliciozni program je “kameleon” koji se ponaša na sličan način kao i antivirus kojeg otkrije na računaru. I to važi za većinu antivirusnih programa koji nešto znače na tržištu. On detektuje antivirus na računaru pa i jezik interfejsa koji je korisnik odabrao. Poruke koje šalje korisniku su veoma slične onima na koje je korisnik navikao da dobija od originalnog antivirusnog programa.

Kako bi računar korisnika ostao potpuno nezaštićen, sledi još jedan korak ka tom cilju. Trojanac objavljuje još jedno upozorenje u pop-up prozoru i ljubazno traži od korinika da restartuje sistem kako bi započeo proces čišćenja računara od infekcije. Ali pre toga, on čeka da se instalirani antivirusni program ukloni sa računara (deinstalacija), a potom pomoću originalnog Microsoft-ovog fajla bcdedit.exe daje instrukcije sistemu da se pokrene u safe modu nakon restarta.

Sada malware iz safe moda kreira sledeći registry key: "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell = %windir%\services32.exe". Pravi antivirus je uspešno uklonjen sa računara, a Trojanac još jednom koristi bcdedit.exe za izvršenje “BCDEDIT /deletevalue safeboot /set safebootalternateshell false”. Posle sledećeg restartovanja, računar radi u normalnom modu.

Trojanac ima i downloader komponentu koja mu omogućava preuzimanje fajlova sa različitih URL adresa zavisno od verzije zaraženog operativnog sistema. Drugim rečima, Windows Vista će preuzimati fajlove sa različitih lokacija od onih sa kojih fajlove preuzima Windows XP.

Trojanac ima i listu IP adresa, koje uključuju IP adrese drugih zaraženih sistema pa sistem distribucije i ažuriranje Trojanca oslanja i na P2P. Ove IP liste se konstantno ažuriraju čime je obezbeđen kontinuirani kontakt zaraženih sistema i regularno ažuriranje malicioznog koda.

Ekipa Informacije se zahvaljuje Goranu Milojeviću iz Ambulante MyCity foruma na pomoći i ukazivanju na ovaj problem koji poslednjih dana učestalo pogađa korisnike srpske mreže Facebook-a. Za dodatne informacije i pomoć možete se obratiti članovima tima Ambulante na adresi: http://www.mycity.rs/Ambulanta/.

Korisnicima savetujemo da budu oprezni i dobro razmisle pre nego što kliknu na bilo kakav link na koji naiđu na Facebook-u, čak i ukoliko link dolazi u poruci koju im šalje neko od prijatelja sa Facebook-a.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje