Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Integrierte Facebook-Anwendung bedroht Anwender

Hanau, 6. Februar 2013

Der IT-Sicherheitsspezialist Doctor Web warnt vor einer neuen Verbreitungswelle von Malware unter Facebook-Benutzern. Diesmal haben die Übeltäter auf die integrierte Anwendung abgezielt, die es ermöglicht, auf Facebook-Seiten den Schadcode zu platzieren. Zur Verbreitung von Trojanern verwendet man gefälschte thematische Gruppen, wo man auf die hinter dem Videospot getarnte Links zu einer böswilligen Anwendung trifft.

Zur Verbreitung von Malware haben die Übeltäter eine Vielzahl von thematischen Facebook-Gruppen wie Videos Mega oder Mega Videos erstellt. Zum 5. Februar 2013 zählten die Gruppen mehrere Hundert Mitglieder. In jeder Gruppe haben die Übeltäter einen Link zur integrierten böswilligen Anwendung platziert. Der Benutzer sollte nach dem Szenario der Übeltäter auf den vorgeschobenen Videospot klicken und anschließend seinen Videoplayer über das gefälschte Facebook-Fenster aktualisieren.

Nachdem der Benutzer das Update installiert hat, wird auf seinen Rechner das selbst auspackende Archiv mit Trojan.DownLoader8.5385 automatisch geladen. Dabei besitzt der Trojaner die legitime digitale Signatur Updates LTD von Comodo. Das ist der Grund, weshalb böswillige Anwendungen während der Installation vom Betriebssystem akzeptiert werden.

screen

Trojan.DownLoader8.5385 ist ein normaler Download-Trojaner, dessen Hauptaufgabe im Herunterladen und Starten von böswilliger Software besteht. In diesem Fall lädt der Trojaner Plug-ins für Google Chrome und Mozilla Firefox herunter, die für den Massenversand von Einladungen für den Beitritt zu verschiedenen Facebook-Gruppen sowie für die Installation von Like-Zeichen gedacht sind. Diese böswillige Software erfüllt folgende Funktionen:

  • Informationen über Facebook-Freunde des Opfers herausbekommen;
  • Like-Zeichen auf Facebook-Seiten oder bei einem externen Link setzen;
  • Den Zugang zum Fotoalbum Facebook-Seiten gewähren;
  • Gruppen beitreten;
  • Einladungen für den Gruppenbeitritt verschicken;
  • Links an den Benutzer-Wänden veröffentlichen;
  • Status ändern;
  • Chat-Fenster öffnen;
  • An Veranstaltungen teilnehmen;
  • Einladungen zu Veranstaltungen an Benutzer verschicken;
  • Kommentare veröffentlichen;
  • Angebote erhalten und verschicken;

Die Konfigurationsdatei mit allen für die Plug-ins notwendigen Daten wird auf infizierten PC vom Server der Cyber-geladen. Diese Plug-ins werden von Antivirensoftware als Trojan.Facebook.310 detektiert.

Darüber hinaus installiert Trojan.DownLoader8.5385 auf den infizierten PC den BackDoor.IRC.Bot.2344, der Workstations in Botnets einbindet. Dieser Schädling ist in der Lage, verschiedene Befehle auszuführen, die ihm via IRC (Internet Relay Chat) übermittelt werden. Dafür stellt er eine Verbindung zu den von Kriminellen angelegten Chat-Kanälen her. Unter Befehlen, die von BackDoor.IRC.Bot.2344 ausgeführt werden können, sind folgende hervorzuheben:

  • Befehle von CMD;
  • Dateien von definierten Internetseiten herunterladen und in einen lokalen Ordner platzieren;
  • Prüfen, ob der vorgegebene Prozess gestartet wurde;
  • An den Remote-Server eine Liste mit gestarteten Prozessen per tasklist.exe übermitteln;
  • Vorgegebene Prozesse stoppen;
  • Beliebige Anwendungen starten;
  • Plug-ins herunterladen und für Google Chrome installieren.

Also kommt man zum Schluss, dass die aktuelle Sicherheitspolitik für integrierte Facebook-Anwendungen zur Verbreitung von Trojanern beiträgt. Alle erwähnten Schädlinge wurden von Doctor Web Analysten in die Virendatenbanken eingetragen und stellen für Dr.Web Benutzer keine Gefahr dar. Unsere Sicherheitsexperten von Doctor Web empfehlen den Anwendern Updates nur aus zuverlässigen Quellen zu installieren.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden