От няколко дни на ползващите Фейсбук се случва нещо интересно.
Получават чрез чата му съобщение от познат им приятел, което ги кани да видят в YouTube видео. (Под предлог, че показва тях, или какъв да е друг.) При опита за отварянето на видеото получават съобщение, че Flash Player-а им е вече стар, и покана да си свалят най-новата версия. За щастие или съжаление, на видеото ги няма.
Но още на следващия ден започват да получават от Фейсбук приятелите си съобщения в стил “Абе няма ме на това видео, защо реши, че съм на него?”. Включително от хора, на които не са писали нищо от месеци. По същото време може и да забележат, че компютърът им се държи смътно странно, въпреки че всички антивируси са налице, ъпдейтнати и не откриват нищо. Ако имат някой наистина грамотен компютърно приятел, може и да им се обади с: “Какъв е този вирус, който ми прати във фейсбука?”, и да не вярва, когато му обясняват, че компютърът им не е заразен.
И с право. Защото компютърът им наистина е заразен.
Въпросният вирус е наистина качествено постижение. Изследователите още не са се спрели на общо име за него; като че ли за момента се налага Trojan.FakeAV.LVT. Заразява всички версии на Windows. Засега потребителите на Linux са в безопасност (вирусът използва уиндоуското API и е безпомощен без него). Тъй като обаче прониква на компютъра не чрез технически експлойт, а чрез социално инженерство, никоя операционна система не е защитена – дупката в сигурността всъщност е “задклавиатурното устройство”.
Както се сещате, съобщението “Flash Player-а ви е стар, свалете си нова версия” всъщност ще ви свали и инсталира вируса, ако имате глупостта да се съгласите. При инсталирането си вирусът мигновено убива антивирусните програми на компютъра ви. След това ги подменя с идентично изглеждащи копия, които наглед правят всичко (сканират компютъра, свалят ъпдейтове и т.н.), но ефектът им е само психотерапевтичен. После разпраща от ваше име на всичките ви приятели във Фейсбук съобщението с линка. Накрая започва да сваля и инсталира допълнителни модули, които разширяват функционалността му с какво ли не.
За момента пълен списък на модулите му няма (и вероятно няма как да има – сигурно киберпрестъпниците зад него непрекъснато пишат нови). Ако съдя по какво съм намирал в предишни вируси, сред модулите вероятно ще има:
– сеене на пощенски и уики спам (ако съдя по какво става последните 2 дни в уикитата и блоговете, които стопанисвам, този модул вече е активен)
– дистрибутиран C&C (command and control): вместо да има централен сървър, от който вирусът на компютъра ви да бъде командван, това ще става чрез peer-to-peer мрежа, подобно на някои програми за споделяне на файлове
– записване на натиснатите клавиши и анализ за откриване на пароли за банкови сметки, онлайн игри и всичко друго, от което могат да бъдат изцедени пари
– сканиране на машината за контакти (е-майл акаунти, ИМ акаунти и пр.), и открадването им с цел разпращане от тях на спам, вируси и/или измами, и събиране на информацията от тях за бази данни на престъпниците или на разузнавания, които ги покровителстват
– сканиране на машината за лична информация (поща, документи, лични снимки с висок процент голота по тях) и изпращането й за съставяне на бази данни
– шифроване на всички документи и пр. на машината, и предлагане на разшифроването им срещу заплащане
– атакуване на “твърди” цели (компютри и мрежи на разузнавания, военни, големи и непоплюващи си корпорации и т.н.)
– съхранение и прехвърляне на открадната информация
– уеб-сервиране на фалшиви сайтове на банки и други финансови институции (с цел крадене на пароли за сметки в тях)
– използване на машината при координиране на престъпления и/или за имитиране на съучастничество в тях (за отклоняване на вниманието от истинските извършители)
– разпространяване (чрез спам или пряк запис на документи по машината), или хостване на призиви към нетолерантност и/или тероризъм
Наскоро от непредпазливостта си пострада мой потребител. Забелязах, че уеб сървърът ми е започнал да бълва спам – нещо сравнително нетипично за мой сървър. Огледът показа, че от овирусена машина в Бразилия някой се е логнал с неговите FTP юзер и парола и е инсталирал spam relay в сайта му. “Добавката” бе изчистена, паролата – сменена. След това се сетих да отида до потребителя и да погледна компютъра му – естествено, също овирусен с вирус, записващ набраните юзери и пароли. Оказа се, че той знае за вируса, но не си е мръднал пръста да го изчисти – “какво толкова може да ми направи?”… Той вече няма FTP парола при мен, колкото и да му е неприятно. По-добре евентуално да загубя един потребител, отколкото да ми блеклистнат целия сървър. Или да ми се изтърсят командоси и с месеци да лежа в ареста и да давам обяснения защо хоствам финансови измами. Вероятно в компанията на въпросния ми потребител.
Накратко – моля ви, бъдете предупредени.