Hanau, 6. Februar 2013

Der IT-Sicherheitsspezialist Doctor Web warnt vor einer neuen Verbreitungswelle von Malware unter Facebook-Benutzern. Diesmal haben die Übeltäter auf die integrierte Anwendung abgezielt, die es ermöglicht, auf Facebook-Seiten den Schadcode zu platzieren. Zur Verbreitung von Trojanern verwendet man gefälschte thematische Gruppen, wo man auf die hinter dem Videospot getarnte Links zu einer böswilligen Anwendung trifft.

Zur Verbreitung von Malware haben die Übeltäter eine Vielzahl von thematischen Facebook-Gruppen wie Videos Mega oder Mega Videos erstellt. Zum 5. Februar 2013 zählten die Gruppen mehrere Hundert Mitglieder. In jeder Gruppe haben die Übeltäter einen Link zur integrierten böswilligen Anwendung platziert. Der Benutzer sollte nach dem Szenario der Übeltäter auf den vorgeschobenen Videospot klicken und anschließend seinen Videoplayer über das gefälschte Facebook-Fenster aktualisieren.

Nachdem der Benutzer das Update installiert hat, wird auf seinen Rechner das selbst auspackende Archiv mit Trojan.DownLoader8.5385 automatisch geladen. Dabei besitzt der Trojaner die legitime digitale Signatur Updates LTD von Comodo. Das ist der Grund, weshalb böswillige Anwendungen während der Installation vom Betriebssystem akzeptiert werden.

Trojan.DownLoader8.5385 ist ein normaler Download-Trojaner, dessen Hauptaufgabe im Herunterladen und Starten von böswilliger Software besteht. In diesem Fall lädt der Trojaner Plug-ins für Google Chrome und Mozilla Firefox herunter, die für den Massenversand von Einladungen für den Beitritt zu verschiedenen Facebook-Gruppen sowie für die Installation von Like-Zeichen gedacht sind. Diese böswillige Software erfüllt folgende Funktionen:

• Informationen über Facebook-Freunde des Opfers herausbekommen;
• Like-Zeichen auf Facebook-Seiten oder bei einem externen Link setzen;
• Den Zugang zum Fotoalbum Facebook-Seiten gewähren;
• Gruppen beitreten;
• Einladungen für den Gruppenbeitritt verschicken;
• Links an den Benutzer-Wänden veröffentlichen;
• Status ändern;
• Chat-Fenster öffnen;
• An Veranstaltungen teilnehmen;
• Einladungen zu Veranstaltungen an Benutzer verschicken;
• Kommentare veröffentlichen;
• Angebote erhalten und verschicken;

Die Konfigurationsdatei mit allen für die Plug-ins notwendigen Daten wird auf infizierten PC vom Server der Cyber-geladen. Diese Plug-ins werden von Antivirensoftware als Trojan.Facebook.310 detektiert.

Darüber hinaus installiert Trojan.DownLoader8.5385 auf den infizierten PC den BackDoor.IRC.Bot.2344, der Workstations in Botnets einbindet. Dieser Schädling ist in der Lage, verschiedene Befehle auszuführen, die ihm via IRC (Internet Relay Chat) übermittelt werden. Dafür stellt er eine Verbindung zu den von Kriminellen angelegten Chat-Kanälen her. Unter Befehlen, die von BackDoor.IRC.Bot.2344 ausgeführt werden können, sind folgende hervorzuheben:

• Befehle von CMD;
• Dateien von definierten Internetseiten herunterladen und in einen lokalen Ordner platzieren;
• Prüfen, ob der vorgegebene Prozess gestartet wurde;
• An den Remote-Server eine Liste mit gestarteten Prozessen per tasklist.exe übermitteln;
• Vorgegebene Prozesse stoppen;
• Beliebige Anwendungen starten;
• Plug-ins herunterladen und für Google Chrome installieren.

Also kommt man zum Schluss, dass die aktuelle Sicherheitspolitik für integrierte Facebook-Anwendungen zur Verbreitung von Trojanern beiträgt. Alle erwähnten Schädlinge wurden von Doctor Web Analysten in die Virendatenbanken eingetragen und stellen für Dr.Web Benutzer keine Gefahr dar. Unsere Sicherheitsexperten von Doctor Web empfehlen den Anwendern Updates nur aus zuverlässigen Quellen zu installieren.