Zákeřný vir na Facebooku
29. 7. 2011Posledních několik dní se na Facebooku šíří velmi zákeřný vir označovaný někdy jako Trojan.FakeAV.LVT, označení však není důležité. Podstatné je jak jej poznat a vyvarovat se případné nákaze. Tak si ho pojďme představit prevíta jednoho!
Vše začíná anglicky psanou zprávou s odkazem na video:
hi. how are you
Wanna laugh?
It is you on the video ? want to see?
I’ll be out for an hour, will be back soon
Pokud nemáte přátele se kterými si píšete anglicky, tak už toto by měl být pro vás velký vykřičník a měli byste zbystřit! Zajímavý je i formát odkazu na zmíněné video. Jedná o IP adresu, tedy například o následující formát: http://123.456.789.0/cislo.
Po kliknutí na odkaz se dostanete na falešnou YouTube stránku s videem. Stránka má v titulku vaše jméno. Pod videem se zobrazují komentáře od vašich přátel, ovšem psané anglicky! Někteří jsou v šoku, jiným se video líbilo a další konstatuje, že musel aktualizovat přehrávač, ale stálo to za to. A zde je kámen úrazu, ona aktualizace vypadá totiž celkem věrohodně. Místo videa vidíte černé políčko vybízející k updatu Adobe Flash Playeru. Jakmile ovšem prográmek stáhnete a spustíte, začnou se dít nepříjemné věci.
Po stažení se trojský kůň zkopíruje, skrývá se jako %windir%\services32.exe a %windir%\update.X\svchost.exe, kde X je verze malware. Hned poté si přidá záznam do registrů, aby se přidal do povolených programů k průchodu přes firewall, případně firewall úplně vyřadil. Stejně tak vyřadí jakoukoliv další ochranu, kterou v PC máte (antivir, atp.).
Na základě toho, jaký antivir používáte, se trojan přizpůsobí a emuluje jeho funkce! Vyskočí na vás tedy krásné pop-up okno, které vypadá úplně stejně jako okno vašeho starého dobrého antivirového programu, včetně jazyku. Dále po vás bude chtít „antivir“ restartovat PC, jenže ještě předtím vám to odinstaluje váš starý antivir a způsobí, že se systém spustí po restartu v Nouzovém režimu.
Trojan stáhne IP adresy dalších infikovaných strojů se stejným operačním systémem, který máte vy. Vaše PC se tak stává součástí botnetu, výjimkou nejsou ani restarty, atp.
Projevy nákazy tímto virem se mohou i lišit. Způsob nákazy je ovšem stejný. Pokud obdržíte anglicky psanou zprávu uvedenou v úvodu, raději ji hned smažte a na uvedený odkaz vůbec neklikejte! To je základní prevence.
Pokud na odkaz kliknete, tak se stále nic hrozného neděje. Ale určitě nereagujete na výzvu k aktualizaci Adobe Flash Playeru! Zbavit se tohoto viru není vůbec triviální věc. Váš antivirový program vás ho totiž nezbaví. Nejjistější a nejúčinnější je kompletní přeinstalace operačního systému, alternativní řešení můžete najít například na serveru viry.cz.
Zdroj: Webfair.cz