Τώρα: Κυκλοφορεί Trojan μέσω μηνυμάτων του Facebook
TrelosTwnFm-News :: ΕΙΔΗΣΕΙΣ :: ΙΝΤΕΡΝΕΤ
Σελίδα 1 από 1
Τώρα: Κυκλοφορεί Trojan μέσω μηνυμάτων του Facebook
από ΤΡΕΛΛΟΣ ΤΩΝ FM Κυρ 27 Απρ - 23:18
Ένα μήνυμα από έναν φίλο μας, μας ενημέρωσε για μια νέα απειλή (Trojan) κυκλοφορεί στο Facebook. Χρησιμοποιώντας την υπηρεσία προσωπικών μηνυμάτων του κοινωνικού δικτύου, οι απατεώνες προσπαθούν να πλασάρουν trοjans στους ανυποψίαστους χρήστες.
Ο φίλος μας από το safer-internet.gr, μας έστειλε δύο διαφορετικές εικόνες από μηνύματα του Facebook. Τα μηνύματα αναφέρουν κάτι σαν «δες το και μην το πεις σε κανέναν» και περιέχουν δύο αρχεία .rar με διαφορετικό όνομα:
Ζητήσαμε τα αρχεία για να τα αναλύσουμε και φυσικά δεν περιείχε κάτι να δούμε. Αν και τα δύο rar είχαν διαφορετικό όνομα το εκτελέσιμο αρχείο που περιείχαν ήταν ακριβώς το ίδιο (ίδιο CRC Checksum.)
και το όνομα αυτού: Watch This!!!.vbs
Τα εκτελέσιμα αρχεία ήταν μορφής .vbs. Η vbscript είναι μια γλώσσα scripting (σεναρίου όπως το μεταφράζουν) και έρχεται μαζί με τα Windows. Με αυτή μπορείς να κάνεις διάφορα χρήσιμα πράγματα, όπως έχετε διαπιστώσει και από την κατηγορία Tweaks του iGuRu.gr, αλλά μπορείς να γράψεις και trοjans.
To script που περιείχαν τα 2 rar είχαν το TrοjanDownloader.Agent.NJV trοjan που έχει ευρετηριαστεί από την ESET στις 11 Φεβρουαρίου του 2012.
Τι κάνει ένα Trοjan Downloader;
Ένα Trοjan downloader με το που τρέξει στον υπολογιστή του θύματος, αναζητά πρόσβαση σε έναν απομακρυσμένο υπολογιστή για να κατεβάσει αρχεία που στη συνέχεια εγκαθιστά στον υπολογιστή που έχει μολυνθεί.
Το συγκεκριμένο Trοjan, TrοjanDownloader.Agent.NJV trojan,είναι παλιό και έτσι είναι άμεσα αναγνωρίσιμο από τα antivirus, αν φυσικά τα έχετε ενημερώσει.
Περιττό να σας πούμε ότι δεν ανοίγετε αρχεία zip, rar που δεν τα περιμένετε και σας έρχονται σε μηνύματα, ακόμα και αν γνωρίζετε αυτόν που σας το έστειλε.
Αν έχετε τρέχει ήδη το αρχείο και δεν το έχει «χτυπήσει» to antivirus που χρησιμοποιείτε αλλάξτε ή ενημερώστε την εφαρμογή ασφαλείας σας.
Update:
Ενώ τα κακόβουλα μηνύματα συνεχίζονται να έρχονται στο Facebook. αποφασίσαμε να ανοίξουμε το script για μια περαιτέρω ανάλυση.
Όλα τα κακόβουλα links φαίνεται να οδηγούν στον ίδιο server ο οποίος προφανώς έχει παραβιαστεί.
Δείτε 3 από τα domains
Η ομάδα του iGuRu.gr ενημέρωσε τον ιδιοκτήτη του server για να πάρει τα απαραίτητα μέτρα.
Όλες οι κακόβουλες διευθύνσεις συμπεριλαμβάνονται στην παρακάτω φωτογραφία όπως αναγράφονται στο script
Πιστεύουμε ότι ο κακόβουλος χρήστης είναι Έλληνας καθώς υπάρχουν κακόβουλα αρχεία με Ελληνικά ονόματα, όπως πχ το . /vasika/kalisperasas.zip. Επίσης ο φάκελος που κάνει επίσης για να κατεβάσει τα κακόβουλα αρχεία ονομάζεται από τον κακόβουλο χρήστη «\MyFolderakis.»
Εφόσοςν φτιάχνει το παραπάνω φάκελο στον υπολογιστή του θύματος, κατεβάζει το content.zip που περιέχει ένα . jar αρχείο.
download(csPATH)
Unzip csPATH &»\content.zip«, csPATH
Loop While ReportFileStatus(csPATH &»\sapsalo.jar
Εφόσον κατεβάσει το content.zip και τρέξει το jar (τρέχει σε Windows, Mac και Linux) αρχίζει να κατεβάζει όλα τα άλλα κακόβουλα αρχεία, από τα links που δώσαμε παραπάνω.
Προσοχή, καθώς δεν κατεβάσαμε τα παραπάνω αρχεία και δεν γνωρίζουμε τι περιέχουν.
*iguru.gr
Ο φίλος μας από το safer-internet.gr, μας έστειλε δύο διαφορετικές εικόνες από μηνύματα του Facebook. Τα μηνύματα αναφέρουν κάτι σαν «δες το και μην το πεις σε κανέναν» και περιέχουν δύο αρχεία .rar με διαφορετικό όνομα:
Ζητήσαμε τα αρχεία για να τα αναλύσουμε και φυσικά δεν περιείχε κάτι να δούμε. Αν και τα δύο rar είχαν διαφορετικό όνομα το εκτελέσιμο αρχείο που περιείχαν ήταν ακριβώς το ίδιο (ίδιο CRC Checksum.)
και το όνομα αυτού: Watch This!!!.vbs
Τα εκτελέσιμα αρχεία ήταν μορφής .vbs. Η vbscript είναι μια γλώσσα scripting (σεναρίου όπως το μεταφράζουν) και έρχεται μαζί με τα Windows. Με αυτή μπορείς να κάνεις διάφορα χρήσιμα πράγματα, όπως έχετε διαπιστώσει και από την κατηγορία Tweaks του iGuRu.gr, αλλά μπορείς να γράψεις και trοjans.
To script που περιείχαν τα 2 rar είχαν το TrοjanDownloader.Agent.NJV trοjan που έχει ευρετηριαστεί από την ESET στις 11 Φεβρουαρίου του 2012.
Τι κάνει ένα Trοjan Downloader;
Ένα Trοjan downloader με το που τρέξει στον υπολογιστή του θύματος, αναζητά πρόσβαση σε έναν απομακρυσμένο υπολογιστή για να κατεβάσει αρχεία που στη συνέχεια εγκαθιστά στον υπολογιστή που έχει μολυνθεί.
Το συγκεκριμένο Trοjan, TrοjanDownloader.Agent.NJV trojan,είναι παλιό και έτσι είναι άμεσα αναγνωρίσιμο από τα antivirus, αν φυσικά τα έχετε ενημερώσει.
Περιττό να σας πούμε ότι δεν ανοίγετε αρχεία zip, rar που δεν τα περιμένετε και σας έρχονται σε μηνύματα, ακόμα και αν γνωρίζετε αυτόν που σας το έστειλε.
Αν έχετε τρέχει ήδη το αρχείο και δεν το έχει «χτυπήσει» to antivirus που χρησιμοποιείτε αλλάξτε ή ενημερώστε την εφαρμογή ασφαλείας σας.
Update:
Ενώ τα κακόβουλα μηνύματα συνεχίζονται να έρχονται στο Facebook. αποφασίσαμε να ανοίξουμε το script για μια περαιτέρω ανάλυση.
Όλα τα κακόβουλα links φαίνεται να οδηγούν στον ίδιο server ο οποίος προφανώς έχει παραβιαστεί.
Δείτε 3 από τα domains
Η ομάδα του iGuRu.gr ενημέρωσε τον ιδιοκτήτη του server για να πάρει τα απαραίτητα μέτρα.
Όλες οι κακόβουλες διευθύνσεις συμπεριλαμβάνονται στην παρακάτω φωτογραφία όπως αναγράφονται στο script
Πιστεύουμε ότι ο κακόβουλος χρήστης είναι Έλληνας καθώς υπάρχουν κακόβουλα αρχεία με Ελληνικά ονόματα, όπως πχ το . /vasika/kalisperasas.zip. Επίσης ο φάκελος που κάνει επίσης για να κατεβάσει τα κακόβουλα αρχεία ονομάζεται από τον κακόβουλο χρήστη «\MyFolderakis.»
Εφόσοςν φτιάχνει το παραπάνω φάκελο στον υπολογιστή του θύματος, κατεβάζει το content.zip που περιέχει ένα . jar αρχείο.
download(csPATH)
Unzip csPATH &»\content.zip«, csPATH
Loop While ReportFileStatus(csPATH &»\sapsalo.jar
Εφόσον κατεβάσει το content.zip και τρέξει το jar (τρέχει σε Windows, Mac και Linux) αρχίζει να κατεβάζει όλα τα άλλα κακόβουλα αρχεία, από τα links που δώσαμε παραπάνω.
Προσοχή, καθώς δεν κατεβάσαμε τα παραπάνω αρχεία και δεν γνωρίζουμε τι περιέχουν.
*iguru.gr
ΤΡΕΛΛΟΣ ΤΩΝ FM- Διαχειριστής
Χώρα : 
Φύλλο : 
Όνομα : Βασίλης
Τόπος : Γαργαλιάνοι Μεσσηνίας
Ηλικία : 44
Δημοσιεύσεις : 41153
Έλαβες ευχαριστώ : 320
Browser : 
-
Παρόμοια θέματα» Προσοχή! Κυκλοφορεί τώρα ιός στο Facebook
» Κυκλοφορεί τώρα: Facebook Color Changer
» Προσοχή νέος ιός κυκλοφορεί στο Facebook !
» Έρχονται νέες αλλαγές στη λειτουργία μηνυμάτων του Facebook
» ΠΡΟΣΟΧΗ: Nέο trojan στο facebook
» Κυκλοφορεί τώρα: Facebook Color Changer
» Προσοχή νέος ιός κυκλοφορεί στο Facebook !
» Έρχονται νέες αλλαγές στη λειτουργία μηνυμάτων του Facebook
» ΠΡΟΣΟΧΗ: Nέο trojan στο facebook
TrelosTwnFm-News :: ΕΙΔΗΣΕΙΣ :: ΙΝΤΕΡΝΕΤ
Σελίδα 1 από 1
Δικαιώματα σας στην κατηγορία αυτή
Δεν μπορείτε να απαντήσετε στα Θέματα αυτής της Δ.Συζήτησης|
|
|
» Ο ΤΡΕΛΛΟΣ ΤΩΝ FM παντρεύεται !
» Το FIFA World έρχεται στο PC
» Τα UK charts της εβδομάδας
» Trailer για το νέο Need for Speed
» Εκλογές 2023 : Πόσες ημέρες άδειας δικαιούνται οι εργαζόμενοι
» Συνελήφθη γυναίκα σε χωριό του Αγρινίου – Φέρεται να απείλησε νεαρό με κυνηγετικό όπλο
» J2US: Ο Πασχάλης Τερζής έκανε την μεγάλη έκπληξη – «Έσπασαν» Εύη Δρούτσα και Δέσποινα Βανδή
» Λευκές ελιές: Μια σπάνια ποικιλία ελιάς με καταγωγή από τα αρχαία χρόνια
» Ο άγνωστος ιαματικός πλούτος της Ελλάδας.Οι 90 Ιαματικές Πηγές,9 στην Αιτωλοακαρνανία
» Λαμία: Έκκληση για αίμα 0 ρέζους αρνητικό
» Βραβεύθηκαν Λουξ και Καλλιμάνης από την Ελληνική Ακαδημία Μάρκετινγκ
» Συλλέγουν πλαστικά καπάκια για παιδιά με αναπηρία
» Μπήκε σε κομμωτήριο και προσπάθησε να δολοφονήσει τον ιδιοκτήτη
» Άρτα: Έκκληση για να ξανασταθεί 21χρονος στα πόδια του
» ooVoo - chat and voip
» Για σένα τραγουδώ --- Γιάννης Πουλόπουλος. HD.
» Eνα ταξίδι --- RONI IRON Feat. Charitini (Tripes Tribute). HD.
» Grrek Filiko Forum
» Moby - Porcelain (Official Video)
» Moby 'Why Does My Heart Feel So Bad?' - Official video
» ♛♛♛ Imany – Don't be so shy (Filatov & Karas Remix) ♛♛♛
» ~Αχ βρε ζωή~ Νίκος Οικονομίδης ♬♪
» The Olympians - Istoria (Ιστορία)
» olympians --o tropos
» Ελένη Δήμου ~ Δεν με νοιάζει
» Μια γυναίκα μόνο ξέρει - Καίτη Γκρέυ
» ΟΤΙ ΑΓΑΠΩ ΕΙΝΑΙ ΔΙΚΟ ΣΟΥ ΓΛΥΚΕΡΙΑ-HD
» ΓΙΑ ΠΟΥ ΤΟ'ΒΑΛΕΣ ΚΑΡΔΙΑ ΜΟΥ- ΟΡΦΕΑΣ ΠΕΡΙΔΗΣ
» Ζαφείρης Μελάς - Γαμώ την Καλοσύνη μου (Νew 2011)