От няколко дни на ползващите Фейсбук се случва нещо интересно.
Получават чрез чата му съобщение от познат им приятел, което ги кани да видят в YouTube видео. (Под предлог, че показва тях.) При опита за отварянето на видеото получават съобщение, че Flash Player-а им е вече стар, и покана да си свалят най-новата версия. За щастие или съжаление, на видеото ги няма.
Но още на следващия ден започват да получават от Фейсбук приятелите си съобщения в стил "Абе няма ме на това видео, защо реши, че съм на него?". Включително от хора, на които не са писали нищо от месеци. По същото време може и да забележат, че компютърът им се държи смътно странно, въпреки че всички антивируси са налице, ъпдейтнати и не откриват нищо.
Ако имат някой наистина грамотен компютърно приятел, може и да им се обади с: "Какъв е този вирус, който ми прати във фейсбука?", и да не вярва, когато му обясняват, че компютърът им не е заразен.
И с право. Защото компютърът им наистина е заразен.
Въпросният вирус е наистина качествено постижение. Изследователите още не са се спрели на общо име за него; като че ли за момента се налага Trojan.FakeAV.LVT. Заразява всички версии на Windows. Засега потребителите на Linux са в безопасност (вирусът използва уиндоуското API и е безпомощен без него).
Тъй като обаче прониква в компютъра не чрез технически експлойт, а чрез социално инженерство, никоя операционна система не е защитена - дупката в сигурността всъщност е "задклавиатурното устройство".
Както се сещате, съобщението "Flash Player-а ви е стар, свалете си нова версия" всъщност ще ви свали и инсталира вируса, ако имате глупостта да се съгласите. При инсталирането си вирусът мигновено убива антивирусните програми на компютъра ви. След това ги подменя с идентично изглеждащи копия, които наглед правят всичко (сканират компютъра, свалят ъпдейтове и т.н.), но ефектът им е само психотерапевтичен.
После разпраща от ваше име на всичките ви приятели във Фейсбук съобщението с линка. Накрая започва да сваля и инсталира допълнителни модули, които разширяват функционалността му с какво ли не.
За момента пълен списък на модулите му няма (и вероятно няма как да има - сигурно киберпрестъпниците зад него непрекъснато пишат нови). Ако съдя по това, което съм намирал в предишни вируси, сред модулите вероятно ще има:
- сеене на пощенски и уики спам (ако съдя по това, което става през последните 2 дни в уикитата и блоговете, които стопанисвам, този модул вече е активен);
- дистрибутиран C&C (command and control): вместо да има централен сървър, от който вирусът на компютъра ви да бъде командван, това ще става чрез peer-to-peer мрежа, подобно на някои програми за споделяне на файлове;
- записване на натиснатите клавиши и анализ за откриване на пароли за банкови сметки, онлайн игри и всичко друго, от което могат да бъдат изцедени пари;
- сканиране на машината за контакти (е-майл акаунти, ИМ акаунти и пр.), и открадването им с цел разпращане от тях на спам, вируси и/или измами, и събиране на информацията от тях за бази данни на престъпниците или на разузнавания, които ги покровителстват;
- сканиране на машината за лична информация (поща, документи, лични снимки с висок процент голота по тях) и изпращането й за съставяне на бази данни;
- шифроване на всички документи и пр. на машината, и предлагане на разшифроването им срещу заплащане;
- атакуване на "твърди" цели (компютри и мрежи на разузнавания, военни, големи и непоплюващи си корпорации и т.н.);
- съхранение и прехвърляне на открадната информация;
- уеб-сервиране на фалшиви сайтове на банки и други финансови институции (с цел крадене на пароли за сметки в тях);
- използване на машината при координиране на престъпления и/или за имитиране на съучастничество в тях (за отклоняване на вниманието от истинските извършители);
- разпространяване (чрез спам или пряк запис на документи по машината), или хостване на призиви към нетолерантност и/или тероризъм.
Наскоро от непредпазливостта си пострада мой потребител. Забелязах, че уеб сървърът ми е започнал да бълва спам - нещо сравнително нетипично за мой сървър. Огледът показа, че от овирусена машина в Бразилия някой се е логнал с неговите FTP юзер и парола и е инсталирал spam relay в сайта му.
"Добавката" бе изчистена, паролата - сменена. След това се сетих да отида до потребителя и да погледна компютъра му - естествено, също овирусен с вирус, записващ набраните юзери и пароли. Оказа се, че той знае за вируса, но не си е мръднал пръста да го изчисти - "какво толкова може да ми направи?"...
Той вече няма FTP парола при мен, колкото и да му е неприятно. По-добре евентуално да загубя един потребител, отколкото да ми блеклистнат целия сървър. Или да ми се изтърсят командоси и с месеци да лежа в ареста и да давам обяснения защо хоствам финансови измами. Вероятно в компанията на въпросния ми потребител.
Накратко - моля ви, бъдете предупредени.
