Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 9. november 2010

Facebook-malware sprer falsk anti-virus

I dag ser vi stor spredning av malware via Facebook i Norge. Infiserte brukere spammer ut private Facebook-meldinger til alle sine kontakter.

Emnet er: "Hello".
Teksten i meldingen er: "I got you a surprise [forskjellige blogger].blogspot.com" (eller varianter rundt dette..)

Ved trykk på linken til bloggen på blogspot.com, vil en med en gang bli videresendt til en tjeneste som ser ut til å drive med deling av bilder. I virkeligheten dreier dette seg om en falsk side satt opp av kriminelle.

Siden ser akkurat nå ut som følger:


Dette er altså en lenke direkte til en .exe-fil. Dessverre viser det seg at mange brukere blir lurt av dette. Nysgjerrigheten tar nok overhånd etter å ha fått den "mystiske" meldingen fra en bekjent på Facebook.

Etter å ha lastet ned og kjørt trojaneren "photo.exe", vil følgende ting skje:

1. Filen "swnd_fdlshgheroiarhnd.exe" blir hentet ned fra adressen 109.196.14_3.134. Dette er et klassisk tilfelle av falsk anti-virus:



2. Filen "outlook.exe" blir hentet ned fra 109.196.14_3.134. Denne komponenten sørger antakeligvis for å spamme ut beskjeder til alle dine Facebook-kontakter for å prøve å spre malwaren videre.

Komponentene over kan også ha annen funksjonalitet i tillegg til den vi har oppdaget.

Vi har sett andre varianter av denne malwaren tidligere, men denne gangen har den oppnådd spesielt stor spredning i Norge. De forskjellige filene og nettadressene for spredning blir stadig endret for å unngå deteksjon fra anti-virus.

Vær veldig skeptisk til lenker mottatt på Facebook. Spesielt dersom de sender deg til eksterne sider. Ikke hent ned eller start .exe-filer.

Ingen kommentarer:

 
>