Вирусът на разрушението във Фейсбук

Б. р. - Съветваме читателите да прочетат внимателно докрай следващите редове, включително с примера с излъганата във Фейсбук накрая. Въпросът не е само до конкретния вирус, а до лекомисленото поведение към опасностите в интернет въобще.

От няколко дни на ползващите Фейсбук се случва нещо интересно.

Получават чрез чата му съобщение от познат им приятел, което ги кани да видят в YouTube видео. (Под предлог, че показва тях, или какъв да е друг.) При опита за отварянето на видеото получават съобщение, че Flash Player-а им е вече стар, и покана да си свалят най-новата версия. За щастие или съжаление, на видеото ги няма.

Но още на следващия ден започват да получават от Фейсбук приятелите си съобщения в стил “Абе няма ме на това видео, защо реши, че съм на него?”. Включително от хора, на които не са писали нищо от месеци. По същото време може и да забележат, че компютърът им се държи смътно странно, въпреки че всички антивируси са налице, ъпдейтнати и не откриват нищо. Ако имат някой наистина грамотен компютърно приятел, може и да им се обади с: “Какъв е този вирус, който ми прати във фейсбука?”, и да не вярва, когато му обясняват, че компютърът им не е заразен.

И с право. Защото компютърът им наистина е заразен.

Въпросният вирус е наистина качествено постижение. Изследователите още не са се спрели на общо име за него; като че ли за момента се налага Trojan.FakeAV.LVT. Заразява всички версии на Windows. Засега потребителите на Linux са в безопасност (вирусът използва уиндоуското API и е безпомощен без него). Тъй като обаче прониква на компютъра не чрез технически експлойт, а чрез социално инженерство, никоя операционна система не е защитена – дупката в сигурността всъщност е “задклавиатурното устройство”.

Както се сещате, съобщението “Flash Player-а ви е стар, свалете си нова версия” всъщност ще ви свали и инсталира вируса, ако имате глупостта да се съгласите. При инсталирането си вирусът мигновено убива антивирусните програми на компютъра ви. След това ги подменя с идентично изглеждащи копия, които наглед правят всичко (сканират компютъра, свалят ъпдейтове и т.н.), но ефектът им е само психотерапевтичен. После разпраща от ваше име на всичките ви приятели във Фейсбук съобщението с линка. Накрая започва да сваля и инсталира допълнителни модули, които разширяват функционалността му с какво ли не.

За момента пълен списък на модулите му няма (и вероятно няма как да има – сигурно киберпрестъпниците зад него непрекъснато пишат нови). Ако съдя по какво съм намирал в предишни вируси, сред модулите вероятно ще има:
- сеене на пощенски и уики спам (ако съдя по какво става последните 2 дни в уикитата и блоговете, които стопанисвам, този модул вече е активен)

- дистрибутиран C&C (command and control): вместо да има централен сървър, от който вирусът на компютъра ви да бъде командван, това ще става чрез peer-to-peer мрежа, подобно на някои програми за споделяне на файлове

- записване на натиснатите клавиши и анализ за откриване на пароли за банкови сметки, онлайн игри и всичко друго, от което могат да бъдат изцедени пари

- сканиране на машината за контакти (е-майл акаунти, ИМ акаунти и пр.), и открадването им с цел разпращане от тях на спам, вируси и/или измами, и събиране на информацията от тях за бази данни на престъпниците или на разузнавания, които ги покровителстват

- сканиране на машината за лична информация (поща, документи, лични снимки с висок процент голота по тях) и изпращането й за съставяне на бази данни

- шифроване на всички документи и пр. на машината, и предлагане на разшифроването им срещу заплащане

- атакуване на “твърди” цели (компютри и мрежи на разузнавания, военни, големи и непоплюващи си корпорации и ...

Свързани новини: