Falešný Facebook zasílá zavirované nové smluvní podmínky už od listopadu, v poslední době ale opět ožívá a útočí i na české poštovní schránky. Co vlastně umí a na koho útočí?
Možná vám už došel e-mail od Facebooku, jehož obsahem jsou nové smluvní podmínky, které je třeba stvrdit spuštěním EXE programu, který je zabalený v ZIP příloze. Samozřejmě se jedná o malware, e-mail totiž pochází od neexistujícího odesílatele a jen blázen by dnes investoval energii do rozbalování a spouštění cizího programu.
Tento phishingový malware ke všemu není ani nejnovějšího data, na Živě.cz jsme o něm totiž psali už v listopadu minulého roku. Jak se ale zdá, nechce se mu opustit svět kyberscény, nebo se možná jedná o druhou vlnu, která ve větší míře dorazila i do Česka.
Co se stane, když si smluvní podmínky přečtete?
Facebook je obrovská síť s více než 350 miliony uživatelů na celém světě. Dva miliony pak pochází z České republiky, což z něj dělá i jednu z největších tuzemských webových komunit. I kdyby se tedy na vějičku chytl každý tisící uživatel, autor malwaru získá 350 000 oveček. Díky stáří viru si s ním sice rozumí drtivá většina antivirových programů, svět Facebooku je ale natolik rozsáhlý, že přirozeně pokrývá i ty, kteří se podobných bezpečnostních udělátek štítí jako čert kříže.
Falešný Facebook nadále rozesílá zavirované smluvní podmínky
A co se vlastně v případě spuštění zabaleného EXE programu stane? Dvacet kilobajtů velký agreement.exe v sobě schovává trojského koně, který je známý pod různými jmény: Trojan.Sasfis.A (BitDefender), W32/Sasfis.E (F-Prot) nebo třeba Trojan:Win32/Oficla.E (MS Security Essentials). Po spuštění virus stáhne z webu DLL knihovnu a zkopíruje ji do uživatelské složky Local Settings\Temp a do systémového adresáře Windows\System. V prvém případě bude mít soubor náhodný název, v tom druhém jej ale už identifikujete snadno, bude se totiž jmenovat ifmq.kqo. Virus se dále integruje do přihlašovacího procesu Windows a navenek se bude chovat jako tradičně zneužívaný proces svchost.exe.
Co dokáže schovaný virus?
A co zavirovaná knihovna vlastně dělá? Podle antivirového výrobce BitDefender obsahuje kód pro Visual Basic for Applications (VBA) a využije ho, pokud máte nainstalovaný Microsoft Office, zneužije totiž systém maker ve Wordu. Zároveň ale virus obsahuje vlastní aktualizační systém, takže si může z webu stáhnout další harampádí, pakliže dostane příkaz od svého tvůrce. V praxi se tedy jedná o klasický botnet.
Možná se ale po případném zpuštění nestane zhola nic, virus a celý phishingový e-mail je totiž už docela starý a server tak již vůbec nemusí existovat. Mnohé bezpečnostní weby jej totiž evidovaly již na podzim minulého roku. Jak se tedy zdá, do našich končin cestoval poměrně dlouhou dobu.
