病毒最愛在Facebook做的12件事

趨勢科技 崔嘻(陳清芳)

Facebook 是當今最受歡迎的社交網站之一,可讓使用者聯絡親友、上傳照片、分享連結與影片。它是由 Mark Zuckerberg 就讀哈佛大學時所創辦。根據Wikipedia 解釋Facebook 免費社交網站的名稱取自美國某些大專院校或預備學校發給新生、新聘教授或新進職員的一本名冊,這本名冊就叫 Facebook,是新鮮人認識校園內其他成員的一項管道。目前 Facebook 有效使用者人數超過 1.75億。因此也成為病毒覬覦的對象。

以下是趨勢科技 TrendLabs 偵測到與 Facebook 相關的網路威脅,並歸納出這些利用Facebook 名義,常用的社交工程技巧:

Facebook 相關病毒 常用的社交工程技巧

1. 自 Cookie 檔案中搜尋與 facebook 相關字串
WORM_KOOBFACE.EWORM_KOOBFACE.D 會在中毒電腦上的 cookie 檔案中搜尋與 Facebook  相關的特定字串。 一旦找到,這些蠕蟲就會利用 cookie 中的登入資訊存取使用者的個人資料檔案,並且在中毒使用者的個人資料檔案中加入一些指向自己的連結,引誘使用者點選。這一系列的惡意程式雖然是在 Facebook 上首見 (也是名稱由來),但其變種與手法也曾經出現在其他社交網站,如 Friendster

2. 破解 Facebook 帳號 冒名發送「有人講你壞話」訊息
根據通報,已有遭破解的 Facebook 帳號親友收到包含惡意程式連結的垃圾訊息。這些訊息會佯稱有人在部落格上詆毀收件人的名譽。一旦點選了訊息所宣稱的部落格網址,就會下載一個趨勢科技所偵測到的 TROJ_AGENT.ASLV 檔案,此檔案會進一步下載 TROJ_DROPPER.FI 木馬程式。TROJ_DROPPER.FI 會再下載其他惡意檔案到遭感染的電腦。

3. 傀儡網路冒 FBI 之名調查 Facebook 恐怖份子
根據流傳的一項垃圾訊息指出,FBI 正在調查 Facebook 可疑的恐怖份子。使用者若點選此訊息內的連結,就會連上一個網站,此網站會叫使用者下載一篇有關這項調查的文章。而下載到的檔案其實是趨勢科技所偵測到的 TROJ_NUWAR.DDJ 木馬程式。

4. 朋友在 Facebook 留言:「你被偷拍 Po上網了」其實是 趁機蒐集電子郵件地址
一封假冒使用者聯絡人所發出的訊息,告訴收件人在某 URL 上張貼了收件人的一張照片。 使用者一旦點選了指定的 URL,就會連上一連串的網站,並且要求使用者輸入電子郵件地址。接下來,就會顯示所宣稱的照片,但照片內容其實是一隻猴子。然後網站會告訴使用者可以將這個「玩笑」再傳給其他好友。

5. 新的 Koobface 好友傳來的精彩影片連結,要觀賞先下載病毒

遭到鎖定的使用者會收到假冒的已知 Facebook 聯絡人所送來的訊息。此訊息內含一個連結指向與 YouTube 網頁長相一模一樣的網頁。 這個網頁會要求使用者必須下載 Adobe Flash Player 才能觀賞影片。

使用者若點選安裝按鈕,將重導到另一個網站去下載 setup.exe 檔案,此檔案其實是新的 Koobface 變種WORM_KOOBFACE.AZ

此網站的 IP 保守估計已經發現 300 多個提供 setup.exe 檔案的不同 IP 位址,數量預料還會繼續增加。 此蠕蟲會使用蒐集到的登入資料連線到對應的網站。 接著會搜尋中毒使用者的親友,並且將包含此蠕蟲下載連結的訊息寄給這些親朋好友。此外,此蠕蟲還會連線到好幾個伺服器來傳送並接收中毒電腦的資訊。如此,駭客就能在中毒電腦上執行一些指令。所有提供此惡意檔案的網站 IP 位址現在都已被歸類為 HTML_KOOBFACE.BA 惡意網址。根據趨勢科技工程師所做的分析發現,WORM_KOOBFACE.AZ 也會透過其他社交網站流傳。 它會優先搜尋以下網站的 cookie:

facebook.com

hi5.com

friendster.com

myyearbook.com

myspace.com

bebo.com

tagged.com

netlog.com

fubar.com

livejournal.com

頁數: 1 2 3