Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Szkodliwy dodatek do odsyłacza do Faceboooka

Wiaczesław Zakorzewski
Kaspersky Lab Expert
Dodany 23 grudnia 2010, 09:44 CET
Tagi:

W ostatnich dniach odkryliśmy, że za pośrednictwem komunikatorów internetowych wysyłane są wiadomości spamowe zawierające szkodliwe odsyłacze. Okazało się, że za tymi wysyłkami stoi robak Zeroll. Wiadomości, różniące się językiem w zależności od odbiorcy, były generowane przez bota. Oto kilka przykładów:
  • “Wie findest du das Foto?”
  • “seen this?? :D %s”
  • “This is the funniest photo ever!”
  • “bekijk deze foto :D”
  • “uita-te la aceasta fotografie :D”

Tak jak w przypadku wielu innych, podobnych incydentów, cyberprzestępcy wykorzystali socjotechnikę, zachęcając użytkowników do obejrzenia zdjęć o kuszących nazwach. Na końcu wiadomości znajduje się odsyłacz, taki jak http://www.facebook.com/l.php?u=********.org/Jenny.jpg. Oprócz odsyłacza do pliku Jenny.jpg wiadomości zawierały również podobne odsyłacze do Sexy.jpg.

Strona, do której prowadzi odsyłacz http://www.facebook.com/l.php?u= link, w rzeczywistości nie jest szkodliwa – zawiera ostrzeżenie z Facebooka informujące użytkownika, że opuszcza stronę.


Ostrzeżenie z Facebooka

Po dodaniu odsyłacza do dowolnej strony po „l.php?u=” otworzy się okno z ostrzeżeniem z Facebooka. Jeżeli użytkownik kliknie przycisk „Continue”, odsyłacz zaprowadzi go na odpowiednią stronę. Cyberprzestępcy wykorzystali ten mechanizm, aby szkodliwy odsyłacz wyglądał na nieszkodliwy.

Gdy przeglądarka przekierowuje do strony ********.org/Jenny.jpg, prowadzi do pliku PIC1274214241-JPG-www.facebook.com.exe, który jest następnie uruchamiany przez niczego niepodejrzewających użytkowników. Nazwy jenny.jpg i sexy.jpg odnoszą się do tego pliku wykonywalnego.

Analiza jenny.jpg oraz sexy.jpg wykazała, że są to typowe downloadery, napisane w języku Visual Basic i chronione za pomocą pakerów.



Fragment kodu downloadera po całkowitym rozpakowaniu pliku jenny.jpg

Zadanie downloaderów jest typowe dla tych programów – pobrać na zainfekowany komputer inny szkodliwy program. W tym przypadku jest to plik srce.exe. Aby użytkownik niczego nie podejrzewał, downloadery otwierają również zdjęcie obiecywane w pierwotnej wiadomości spamowej. Zdjęcie jest pobierane z Internetu (odsyłacz na zrzucie ekranu).

Czym jest srce.exe? Jest to dropper połączony z downloaderem. Jego zewnętrzna powłoka również została napisana w języku Visual Basic. Program pobiera IM-Worm.Win32.XorBot.a, który wykorzystuje Yahoo Messenger w celu wysyłania wiadomości użytkownikom.

Podsumowując, odsyłacz do strony na Facebooku jest wykorzystywany w spamie wysyłanym za pośrednictwem komunikatorów internetowych zamiast bezpośredniego odsyłacza do szkodliwego obiektu. Można powiedzieć, że Facebook jest wykorzystywany w ten sam sposób co usługa typu bit.ly: pozwala modyfikować odsyłacze, tak aby były kierowane przez domenę Facebook

Zeroll nadal aktywnie rozsyła spam. Wiadomości zawierają odsyłacze do różnych plików. Jednak wszystkie mają podobne nazwy, takie jak Girls.jpg czy Marisella.jpg. Chociaż większość osób wie, że nie powinno się klikać dziwnych odsyłaczy, nawet jeśli zostały wysłane przez kogoś z ich listy kontaktów, warto przypomnieć o tym jeszcze raz. Cyberprzestępcom nie można odmówić kreatywności, czego dowodem jest spam rozsyłany przez robaka Zeroll.