[ΚΥΚΛΟΦΟΡΕΙ ΤΩΡΑ] Επιθετικό κακόβουλο πρόγραμμα στο Facebook μέσω μηνύματος.

Μην ξεχνάτε να μας επισκεφτείτε στην σελίδα μας στο Facebook πατώντας στο https://www.facebook.com/Mpes.Sto.Internet.Me.Aleksisfairo  κάνοντας Like για να ενημερώνεστε εύκολα και γρήγορα για θέματα που αφορούν την ασφάλεια σας αλλά και την ασφάλεια των παιδιών σας στο διαδίκτυο αλλά και για να μαθαίνετε για τις απάτες και τα ψέματα που κυκλοφορούν στο διαδίκτυο .  Συμβάλουμε όλοι στην ενημέρωση των συνανθρώπων μας , μαθαίνουμε για τα ψέματα και τις απάτες στο ίντερνετ , μαθαίνουμε να χρησιμοποιούμε σωστά το διαδίκτυο , προστατεύουμε τα παιδιά μας και εμάς  . Η προστασία των χρηστών αποτελεί κοινή ευθύνη. Η χρήση των καλύτερων τεχνολογιών και τεχνικών ασφαλείας είναι προς όφελος όλων . Για οποιαδήποτε απορία μπορείτε να κάνετε αίτημα φιλίας και στο προφίλ της σελίδας αυτής στο Facebook πατώντας ΕΔΩ αλλά και να μπείτε και στην ομάδα μας στο Facebook για απορίες , διάλογο κ.α πατώντας ΕΔΩ
Για άλλη μια φορά οι απατεώνες ξαναχτύπησαν και ένας νέος  ιός κυκλοφορεί αυτή τη στιγμή στο Facebook .  
Ας πάρουμε όμως τα πράγματα από την αρχή.
Ο ιος έρχεται μέσα σε ένα .zip αρχείο όπως φαίνεται στην παρακάτω φωτογραφία . Το όνομα του μπορεί να είναι τυχαίο και να έρχεται με διαφορετικό κάθε φορά.

Το συγκεκριμένο αρχείο που εξετάσαμε ονομάζεται Form_0910.zip . To zip περιέχει ένα εκτελέσιμο αρχείο .jar (αρχείο Java) το οποίο δεν το αναγνωρίζουν τα antivirus (το σκανάραμε με δύο διαφορετικά και δεν «χτύπησε»).
Το αρχείο jar περιέχει τα ακόλουθα αρχεία
Φάκελος .settings
Φάκελος META-INF
.classpath
.project
και το κακόβουλο αρχείο (κρυπτογραφημένο) DOYUMGEOGFVKNBO.class

Αν κάποιος τρέξει το αρχείο,jar, το malware θα δημιουργήσει ένα φάκελο στο C:\ με το όνομα temp. Με το που δημιουργήσει τον φάκελο αρχίζει να κατεβάζει ένα μεγάλο εκτελέσιμο αρχείο των Windows (.exe). Στη δική μας περίπτωση το όνομα του αρχείου ήταν QNIDSUE.VZZ, αλλά αυτό δεν παίζει καμία σημασία καθώς το όνομα ήταν τυχαίο. Το μέγεθος του αρχείου μας έκανε εντύπωση καθώς ήταν 3.8MB, αρκετά μεγάλο για κακόβουλο πρόγραμμα.
Το κακόβουλο exe αναγνωρίστηκε από το ESET σαν Win32/Injector.AZFL trojan,  http://www.virusradar.com/en/Win32_Injector.AZFL/description  ένα αρκετά νέο κακόβουλο λογισμικό για την ESET που το κατέγραψε για πρώτη φόρα 7 Μαρτίου του 2014.
Το exe περιέχει περιέχει πολλά υποπρογράμματα (είναι ένα είδους wrapper), άρα μπορεί να εκτελέσει και πολλές λειτουργίες.  Μπορεί να στείλει emails, να συνδεθεί με ftps, περιέχει πολλά σημεία με username και passwords, κάτι που μας δείχνει ότι μπορεί να συνδεθεί σε απομακρυσμένους υπολογιστές και να κατεβάσει και άλλα αρχεία.
Ένα από τα πιο επικίνδυνα χαρακτηριστικά του είναι ότι μπορεί να διαβάσει τα cookies του υπολογιστή του θύματος. Αυτό σημαίνει ότι μπορεί να κλέψει όλους τους κωδικούς που είναι αποθηκευμένοι στον υπολογιστή.
Όμως δεν τελειώνει εδώ.
Υπάρχει άλλο ένα αρχείο, το pthreads.dll. Το συγκεκριμένο .dll, χρησιμοποιείται για να δει κάποιος τι τρέχουν τα Windows. Ο task manager των Windows τρέχει το ίδιο dll. Αυτό μπορεί να χρησιμέψει στον κακόβουλο χρήστη για διαφορετικά πράγματα.
1. να δει τι τρέχει ο υπολογιστής του θύματος και αναλόγως να προσαρμόσει την επίθεση,  ή
2. να κρύψει το κακόβουλο πρόγραμμα από τις διεργασίες των Windows.
Στο κακόβουλο πρόγραμμα ανακαλύψαμε το όνομα stefan και μάλλον είναι το όνομα ή το ψευδώνυμο του developer του κακόβουλου προγράμματος καθώς υπήρχε ένα path από τον compiler με αυτό το όνομα.
Αν έχετε τρέξει το jar, αναζητήστε στον δίσκο που είναι εγκατεστημένα τα Windows για ένα φάκελο temp. Διαγράψτε το φάκελο και σκανάρετε όλο το σύστημα σας, με ένα αξιόπιστο και ενημερωμένο antivirus.
Προσοχή σε αυτόν τον ιό  που σκοπεύει στην κλοπή των διαπιστευτηρίων σας .  O ιός αν και έρχεται σε αρχείο που μπορεί να εκτελεστεί σε όλες της πλατφόρμες, προσβάλει μηχανήματα με Windows.
Πηγή : iguru.gr