Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 9. november 2010

Facebook-malware sprer falsk anti-virus

I dag ser vi stor spredning av malware via Facebook i Norge. Infiserte brukere spammer ut private Facebook-meldinger til alle sine kontakter.

Emnet er: "Hello".
Teksten i meldingen er: "I got you a surprise [forskjellige blogger].blogspot.com" (eller varianter rundt dette..)

Ved trykk på linken til bloggen på blogspot.com, vil en med en gang bli videresendt til en tjeneste som ser ut til å drive med deling av bilder. I virkeligheten dreier dette seg om en falsk side satt opp av kriminelle.

Siden ser akkurat nå ut som følger:


Dette er altså en lenke direkte til en .exe-fil. Dessverre viser det seg at mange brukere blir lurt av dette. Nysgjerrigheten tar nok overhånd etter å ha fått den "mystiske" meldingen fra en bekjent på Facebook.

Etter å ha lastet ned og kjørt trojaneren "photo.exe", vil følgende ting skje:

1. Filen "swnd_fdlshgheroiarhnd.exe" blir hentet ned fra adressen 109.196.14_3.134. Dette er et klassisk tilfelle av falsk anti-virus:



2. Filen "outlook.exe" blir hentet ned fra 109.196.14_3.134. Denne komponenten sørger antakeligvis for å spamme ut beskjeder til alle dine Facebook-kontakter for å prøve å spre malwaren videre.

Komponentene over kan også ha annen funksjonalitet i tillegg til den vi har oppdaget.

Vi har sett andre varianter av denne malwaren tidligere, men denne gangen har den oppnådd spesielt stor spredning i Norge. De forskjellige filene og nettadressene for spredning blir stadig endret for å unngå deteksjon fra anti-virus.

Vær veldig skeptisk til lenker mottatt på Facebook. Spesielt dersom de sender deg til eksterne sider. Ikke hent ned eller start .exe-filer.

Nytt målrettet angrep med Nobel-tema via e-post

Det er avdekket et nytt målrettet angrep som har Nobels Fredspris som tema. E-posten er utformet slik at det ser ut som at den kommer fra "Oslo Freedom Forum" og inneholder en PDF-fil med en falsk invitasjon til utdelingen av Nobels Fredspris.

PDF-filen inneholder også en exploit som tar kontroll over maskinen den blir kjørt på. Det er uvisst hvilken utgave av Adobe Acrobat Reader exploiten er skrevet for.


Denne saken ble først oppdaget av Contagio Malware Dump. F-Secure har skrevet mer utfyllende om saken på sin blogg.

 
>