Червь Facebook распространяется через BitTorrent
19.08.2011 901 4.5 0
Компьютерный червь, изначально ориентированы на пользователей социальных сетей, был обновлен, и теперь может распространяться при помощи BitTorrent. Вредоносная программа, известная как Koobface, использует взломанные компьютеры для создания P2P ботнета и первоначально распространялась через сообщения Facebook. Теперь ее разработчики дали ей возможность распространяться с использованием BitTorrent. Но не впадайте в панику ...

Червь впервые появился в 2008 году и первоначально действовал только в против членов социальных сетей. Используя уже зараженный компьютер как стартовую точку, Koobface отправляет в сети Facebook спам-сообщения "друзьям" хозяина компьютера, в котором содержатся ссылки на различные материалы, возможно видео.



Но видео не проигрывается, и пользователь направляется на установку обновления для Adobe Flash Player, после загрузки которого, компьютер пользователя заражается Koobface и интегрируется в ботнет.

Злоумышленники могут подвергнуть компьютер жертвы дальнейшей установке вредоносного программного обеспечения, перехватить поисковые запросы, для показа объявлений, заблокировать доступ к веб-сайтам (например, антивирусным) и украсть его лицензионные ключи.

По данным Trend Micro, Koobface был обновлен, чтобы использовать еще одну передовую технологию - BitTorrent. Но прежде, чем паниковать, давайте посмотрим, как новый Koobface работает и мы увидим, что угрозы относительно легко избежать.

В своем новом воплощении Koobface начинает жизнь как "загрузчик". Эта часть программного обеспечения прибывает в машину хозяина обычными методами, используемыми создателями вирусов и червей. К ним относится использование фейковых торрентов - раздач, содержание которых не соответствует описанию. Ничего особо нового здесь нет.

Однако, как только "загрузчик" (Trend называют это WORM_KOOBFACE.AV) оказывается в целевой машине и выполняется, он спокойно загружает торрент-файл в фоновом режиме. Как известно, торренты довольно бесполезны без торрент-клиента, но новый Koobface имеет козырь в рукаве. "Загрузчик" содержит собственный торрент-клиент (на самом деле версия Utorrent), который работает на целевой машине, не обнаруживая себя. Клиент тихо загружает файлы, показанные ниже на скриншоте.



Trend привел названия нескольких инфицированных торрентов с нумерацией, которая наводит на мысль, что их может быть намного больше. По данным различных трекеров, эти торренты начали появляться в апреле 2011 года.

65_Silent_Scream_The_Dancer.torrent
67_Dark_Ritual.torrent
68_Celtic_Lore_Sidhe_Hills.torrent
69_Lightroom.torrent
71_SystemCare.torrent
72_Voodoo_Whisperer.torrent
73_Allore_And_The_Broken_Portal.torrent
74_Secret_of_Hildegards.torrent
75_Mystery_Chronicles.torrent
76_Magical_Mysteries.torrent
WinrRAR_4_Beta_7.torrent

Хотя эта новая разновидность Koobface несомненно умна в своем использовании BitTorrent, люди, которые используют торрент-клиенты, как правило, более подкованная аудитория, чем большинство пользователей Facebook, которые могут не задумываясь щелкать ссылки и устанавливать программное обеспечение. Поэтому есть надежда, что человеческий фактор поможет ограничить распространение червя.

Для всех, кто желает, избежать Koobface, ужасно отформатированные имена файлов, подобные приведенным в списке, должны служить тревожным сигналом.

Теги:Koobface, Facebook, BitTorrent, Червь

Читайте также:
Комментарии
avatar