UPOZORENJE: Trojanac u porukama na Facebook-u uklanja antivirus sa računara

Opisi virusa, 26.07.2011, 12:16 PM

Proizvođač antivirusnog softvera BitDefender upozorio je korisnike Facebook-a na pojavu novog malicioznog programa kojeg su stručnjaci kompanije identifikovali kao Trojan.FakeAV.LVT. Trojanac za svoje širenje koristi tehniku društvenog inženjeringa čiji scenario izgleda otrpilike ovako: prijatelj potencijalne žrtve započinje razgovor preko Facebook chat-a na engleskom jeziku a poruke obično izgledaju ovako: “Hi. How are you?”, “It is yu on the video?” ili “Want to see?”, a potom se žrtvi nudi link ka kompromitujućem video snimku na kome se na navodno ona/on nalazi.

Link vodi žrtvu na YouTube stranicu sa snimkom koji je spomenut u razgovoru a u naslovu video snimka nalazi se ime korisnika koje je napisano bez greške jer je preuzeto sa Facebook-a. To je očigledno dovoljno ubedljivo za uplašenog korisnika. Dodatno, imena nekih Facebook korisnika sa liste prijatelja žrtve se nalaze među komentatorima video snimka, što još više prestrašuje žrtvu koja u tom trenutku počinje da veruje da se zaista nalazi na video snimku koji je razočarao njegove/njene prijatelje, sudeći po komentarima koji prate snimak.

Da bi video snimak, za čiji je pregled sada korisnik bez sumnje zainteresovan, od njega se traži da preuzme novu verziju Flash Player-a jer je ona koju već ima zastarela. Kada klikne na ponuđeni link, prvi deo scenarija je završen - korisnik je preuzeo izuzetno “podmuklog” Trojanca, kažu u BitDefender-u.

Uskoro će Trojanac kojeg je žrtva preuzela započeti da pravi štetu na sistemu korisnika. Štetni kod se u računaru nalazi pod nazivom koji ne izgleda sporno na prvi pogled jer je maskiran kao Flash Player. On se kopira kao %windir%\services32.exe i %windir%\update.X\svchost.exe, gde je update skriveni direktorijum a X je verzija Trojanca. Potom dodaje registry key u %SYSTEM% i tako se štetni kod dodaje na listu autorizovanih programa zaštitnog zida Windows-a (firewall) i istovremeno isključuje firewall. Trojanac isključuje tako sva obaveštenja koja uobičajeno daje firewall, onemogućava ažuriranje i funkcionisanje bilo kog antivirusnog programa koji se nalazi instaliran na računaru korisnika. Tako računar korisnika ostaje bez bilo kakve zaštite.

Lažne antiviruse je najčešće lako prepoznati kada je računar već zaražen. Oni su poznati po uobičajenom scenariju: korisnik preuzima lažni antivirus zato što je zastrašen upozorenjima koja se pojavljuju u prozorima koji iskaču i u kojima se korisnik obaveštava da je njegov računar navodno zaražen. Međutim, u slučaju ovog Trojanca, razvoj događaja je malo drugačiji. Ovaj maliciozni program je “kameleon” koji se ponaša na sličan način kao i antivirus kojeg otkrije na računaru. I to važi za većinu antivirusnih programa koji nešto znače na tržištu. On detektuje antivirus na računaru pa i jezik interfejsa koji je korisnik odabrao. Poruke koje šalje korisniku su veoma slične onima na koje je korisnik navikao da dobija od originalnog antivirusnog programa.

Kako bi računar korisnika ostao potpuno nezaštićen, sledi još jedan korak ka tom cilju. Trojanac objavljuje još jedno upozorenje u pop-up prozoru i ljubazno traži od korinika da restartuje sistem kako bi započeo proces čišćenja računara od infekcije. Ali pre toga, on čeka da se instalirani antivirusni program ukloni sa računara (deinstalacija), a potom pomoću originalnog Microsoft-ovog fajla bcdedit.exe daje instrukcije sistemu da se pokrene u safe modu nakon restarta.

Sada malware iz safe moda kreira sledeći registry key: "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell = %windir%\services32.exe". Pravi antivirus je uspešno uklonjen sa računara, a Trojanac još jednom koristi bcdedit.exe za izvršenje “BCDEDIT /deletevalue safeboot /set safebootalternateshell false”. Posle sledećeg restartovanja, računar radi u normalnom modu.

Trojanac ima i downloader komponentu koja mu omogućava preuzimanje fajlova sa različitih URL adresa zavisno od verzije zaraženog operativnog sistema. Drugim rečima, Windows Vista će preuzimati fajlove sa različitih lokacija od onih sa kojih fajlove preuzima Windows XP.

Trojanac ima i listu IP adresa, koje uključuju IP adrese drugih zaraženih sistema pa sistem distribucije i ažuriranje Trojanca oslanja i na P2P. Ove IP liste se konstantno ažuriraju čime je obezbeđen kontinuirani kontakt zaraženih sistema i regularno ažuriranje malicioznog koda.

Ekipa Informacije se zahvaljuje Goranu Milojeviću iz Ambulante MyCity foruma na pomoći i ukazivanju na ovaj problem koji poslednjih dana učestalo pogađa korisnike srpske mreže Facebook-a. Za dodatne informacije i pomoć možete se obratiti članovima tima Ambulante na adresi: http://www.mycity.rs/Ambulanta/.

Korisnicima savetujemo da budu oprezni i dobro razmisle pre nego što kliknu na bilo kakav link na koji naiđu na Facebook-u, čak i ukoliko link dolazi u poruci koju im šalje neko od prijatelja sa Facebook-a.