I dag ser vi stor spredning av malware via Facebook i Norge. Infiserte brukere spammer ut private Facebook-meldinger til alle sine kontakter.
Emnet er: "Hello".
Teksten i meldingen er: "I got you a surprise [forskjellige blogger].blogspot.com" (eller varianter rundt dette..)
Ved trykk på linken til bloggen på blogspot.com, vil en med en gang bli videresendt til en tjeneste som ser ut til å drive med deling av bilder. I virkeligheten dreier dette seg om en falsk side satt opp av kriminelle.
Siden ser akkurat nå ut som følger:
Dette er altså en lenke direkte til en .exe-fil. Dessverre viser det seg at mange brukere blir lurt av dette. Nysgjerrigheten tar nok overhånd etter å ha fått den "mystiske" meldingen fra en bekjent på Facebook.
Etter å ha lastet ned og kjørt trojaneren "photo.exe", vil følgende ting skje:
1. Filen "swnd_fdlshgheroiarhnd.exe" blir hentet ned fra adressen 109.196.14_3.134. Dette er et klassisk tilfelle av falsk anti-virus:
2. Filen "outlook.exe" blir hentet ned fra 109.196.14_3.134. Denne komponenten sørger antakeligvis for å spamme ut beskjeder til alle dine Facebook-kontakter for å prøve å spre malwaren videre.
Komponentene over kan også ha annen funksjonalitet i tillegg til den vi har oppdaget.
Vi har sett andre varianter av denne malwaren tidligere, men denne gangen har den oppnådd spesielt stor spredning i Norge. De forskjellige filene og nettadressene for spredning blir stadig endret for å unngå deteksjon fra anti-virus.
Vær veldig skeptisk til lenker mottatt på Facebook. Spesielt dersom de sender deg til eksterne sider. Ikke hent ned eller start .exe-filer.
Ingen kommentarer:
Legg inn en kommentar