Falešný Facebook zasílá zavirované smluvní podmínky

Falešný Facebook zasílá zavirované nové smluvní podmínky už od listopadu, v poslední době ale opět ožívá a útočí i na české poštovní schránky. Co vlastně umí a na koho útočí?

Možná vám už došel e-mail od Facebooku, jehož obsahem jsou nové smluvní podmínky, které je třeba stvrdit spuštěním EXE programu, který je zabalený v ZIP příloze. Samozřejmě se jedná o malware, e-mail totiž pochází od neexistujícího odesílatele a jen blázen by dnes investoval energii do rozbalování a spouštění cizího programu.

Tento phishingový malware ke všemu není ani nejnovějšího data, na Živě.cz jsme o něm totiž psali už v listopadu minulého roku. Jak se ale zdá, nechce se mu opustit svět kyberscény, nebo se možná jedná o druhou vlnu, která ve větší míře dorazila i do Česka.

Co se stane, když si smluvní podmínky přečtete?

Facebook je obrovská síť s více než 350 miliony uživatelů na celém světě. Dva miliony pak pochází z České republiky, což z něj dělá i jednu z největších tuzemských webových komunit. I kdyby se tedy na vějičku chytl každý tisící uživatel, autor malwaru získá 350 000 oveček. Díky stáří viru si s ním sice rozumí drtivá většina antivirových programů, svět Facebooku je ale natolik rozsáhlý, že přirozeně pokrývá i ty, kteří se podobných bezpečnostních udělátek štítí jako čert kříže.

Klepněte pro větší obrázek
Falešný Facebook nadále rozesílá zavirované smluvní podmínky

A co se vlastně v případě spuštění zabaleného EXE programu stane? Dvacet kilobajtů velký agreement.exe v sobě schovává trojského koně, který je známý pod různými jmény: Trojan.Sasfis.A (BitDefender), W32/Sasfis.E (F-Prot) nebo třeba Trojan:Win32/Oficla.E (MS Security Essentials). Po spuštění virus stáhne z webu DLL knihovnu a zkopíruje ji do uživatelské složky Local Settings\Temp a do systémového adresáře Windows\System. V prvém případě bude mít soubor náhodný název, v tom druhém jej ale už identifikujete snadno, bude se totiž jmenovat ifmq.kqo. Virus se dále integruje do přihlašovacího procesu Windows  a navenek se bude chovat jako tradičně zneužívaný proces svchost.exe.

Co dokáže schovaný virus?

A co zavirovaná knihovna vlastně dělá? Podle antivirového výrobce BitDefender obsahuje kód pro Visual Basic for Applications (VBA) a využije ho, pokud máte nainstalovaný Microsoft Office, zneužije totiž systém maker ve Wordu. Zároveň ale virus obsahuje vlastní aktualizační systém, takže si může z webu stáhnout další harampádí, pakliže dostane příkaz od svého tvůrce. V praxi se tedy jedná o klasický botnet.

Možná se ale po případném zpuštění nestane zhola nic, virus a celý phishingový e-mail je totiž už docela starý a server tak již vůbec nemusí existovat. Mnohé bezpečnostní weby jej totiž evidovaly již na podzim minulého roku. Jak se tedy zdá, do našich končin cestoval poměrně dlouhou dobu.

Témata článku: Software, Microsoft, Internet, Bezpečnost, Sociální sítě, Security Essentials

14 komentářů

Nejnovější komentáře

  • Yarda 17. 2. 2010 8:51:05
    **************************** Od albánských hackerů: ...
  • mxv 16. 2. 2010 17:50:06
    nejen blázni, ale normální BFU.. I po instalaci Win je defaultně nastaveno...
  • Sheepa 16. 2. 2010 2:38:54
    Taky by mě zajímalo, kde soudruzi udělali chybu... :-)):-))
Určitě si přečtěte

Monitory do 10 tisíc: poradíme, jaké jsou teď nejlepší

Monitory do 10 tisíc: poradíme, jaké jsou teď nejlepší

** Dobrý monitor s kvalitním panelem lze pořídit pod tři tisíce korun ** Pod deset tisíc si můžete koupit pracovní 27" monitor nebo nejlevnější použitelné 4K ** Vybrali jsme také ideální model pro vícemonitorovou konfiguraci

27.  11.  2016 | Stanislav Janů | 13

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

** Programátorů je málo a horníků bez práce po uzavření dolu Paskov bude moc ** Problém řeší unikátní projekt ** Pilotní kurz dává naději, že by z horníků mohli být použitelní kodéři

28.  11.  2016 | David Polesný | 76