Б. р. – Съветваме читателите да прочетат внимателно докрай следващите редове, включително с примера с излъганата във Фейсбук накрая. Въпросът не е само до конкретния вирус, а до лекомисленото поведение към опасностите в интернет въобще.
От няколко дни на ползващите Фейсбук се случва нещо интересно.
Получават чрез чата му съобщение от познат им приятел, което ги кани да видят в YouTube видео. (Под предлог, че показва тях, или какъв да е друг.) При опита за отварянето на видеото получават съобщение, че Flash Player-а им е вече стар, и покана да си свалят най-новата версия. За щастие или съжаление, на видеото ги няма.
Но още на следващия ден започват да получават от Фейсбук приятелите си съобщения в стил “Абе няма ме на това видео, защо реши, че съм на него?”. Включително от хора, на които не са писали нищо от месеци. По същото време може и да забележат, че компютърът им се държи смътно странно, въпреки че всички антивируси са налице, ъпдейтнати и не откриват нищо. Ако имат някой наистина грамотен компютърно приятел, може и да им се обади с: “Какъв е този вирус, който ми прати във фейсбука?”, и да не вярва, когато му обясняват, че компютърът им не е заразен.
И с право. Защото компютърът им наистина е заразен.
Въпросният вирус е наистина качествено постижение. Изследователите още не са се спрели на общо име за него; като че ли за момента се налага Trojan.FakeAV.LVT. Заразява всички версии на Windows. Засега потребителите на Linux са в безопасност (вирусът използва уиндоуското API и е безпомощен без него). Тъй като обаче прониква на компютъра не чрез технически експлойт, а чрез социално инженерство, никоя операционна система не е защитена – дупката в сигурността всъщност е “задклавиатурното устройство”.
Както се сещате, съобщението “Flash Player-а ви е стар, свалете си нова версия” всъщност ще ви свали и инсталира вируса, ако имате глупостта да се съгласите. При инсталирането си вирусът мигновено убива антивирусните програми на компютъра ви. След това ги подменя с идентично изглеждащи копия, които наглед правят всичко (сканират компютъра, свалят ъпдейтове и т.н.), но ефектът им е само психотерапевтичен. После разпраща от ваше име на всичките ви приятели във Фейсбук съобщението с линка. Накрая започва да сваля и инсталира допълнителни модули, които разширяват функционалността му с какво ли не.
За момента пълен списък на модулите му няма (и вероятно няма как да има – сигурно киберпрестъпниците зад него непрекъснато пишат нови). Ако съдя по какво съм намирал в предишни вируси, сред модулите вероятно ще има:
– сеене на пощенски и уики спам (ако съдя по какво става последните 2 дни в уикитата и блоговете, които стопанисвам, този модул вече е активен)
– дистрибутиран C&C (command and control): вместо да има централен сървър, от който вирусът на компютъра ви да бъде командван, това ще става чрез peer-to-peer мрежа, подобно на някои програми за споделяне на файлове
– записване на натиснатите клавиши и анализ за откриване на пароли за банкови сметки, онлайн игри и всичко друго, от което могат да бъдат изцедени пари
– сканиране на машината за контакти (е-майл акаунти, ИМ акаунти и пр.), и открадването им с цел разпращане от тях на спам, вируси и/или измами, и събиране на информацията от тях за бази данни на престъпниците или на разузнавания, които ги покровителстват
– сканиране на машината за лична информация (поща, документи, лични снимки с висок процент голота по тях) и изпращането й за съставяне на бази данни
– шифроване на всички документи и пр. на машината, и предлагане на разшифроването им срещу заплащане
– атакуване на “твърди” цели (компютри и мрежи на разузнавания, военни, големи и непоплюващи си корпорации и т.н.)
– съхранение и прехвърляне на открадната информация
– уеб-сервиране на фалшиви сайтове на банки и други финансови институции (с цел крадене на пароли за сметки в тях)
– използване на машината при координиране на престъпления и/или за имитиране на съучастничество в тях (за отклоняване на вниманието от истинските извършители)
– разпространяване (чрез спам или пряк запис на документи по машината), или хостване на призиви към нетолерантност и/или тероризъм
Наскоро от непредпазливостта си пострада мой потребител. Забелязах, че уеб сървърът ми е започнал да бълва спам – нещо сравнително нетипично за мой сървър. Огледът показа, че от овирусена машина в Бразилия някой се е логнал с неговите FTP юзер и парола и е инсталирал spam relay в сайта му. “Добавката” бе изчистена, паролата – сменена. След това се сетих да отида до потребителя и да погледна компютъра му – естествено, също овирусен с вирус, записващ набраните юзери и пароли. Оказа се, че той знае за вируса, но не си е мръднал пръста да го изчисти – “какво толкова може да ми направи?”… Той вече няма FTP парола при мен, колкото и да му е неприятно. По-добре евентуално да загубя един потребител, отколкото да ми блеклистнат целия сървър. Или да ми се изтърсят командоси и с месеци да лежа в ареста и да давам обяснения защо хоствам финансови измами. Вероятно в компанията на въпросния ми потребител.
Накратко – моля ви, бъдете предупредени.
П. С.
Въпрос на потребителка:
Така да споделя как се случи сблъсъка ми с този вирус. Една приятелка (фейсбук манячка) ми пише, че неин абонат й праща линк с нейно видео (мръснишко) – страницата е имитация на тубето и заглавие на клипа е името на приятелката ми и описание за мръснишкия клип под клипа достаъчен брой коментари на английски с възмущение от това което са видели. Тя е в шок при положение, че не се е снимала в такива клипове и цъка ли цъка да си ъпдейтне плеъра да види за кво иде реч. Прати ми линк да го отворя, тъй аз се усъмних, но го отворих, за да съм абсолютно сигурна антивирусната ми го хвана и това беше. Та въпросът ми е дали имам някакъв вирус в компа си ?
Отговор:
Ако антивирусът не е хванал нищо, на практика 100% имате вирус. Ако е хванал нещо, вероятността намалява много, но все пак не е напълно изключена. Проверете си компютъра изцяло, моят съвет е с поне две антивирусни програми (истински – ментета, които всъщност са вируси, напоследък също има предостатъчно).
Проблемът по-скоро е във вас. Антивирусите пазят компютъра, те са безпомощни пред дупки в сигурността на “задклавиатурното устройство”. “Аз се усъмних, но го отворих” е точен еквивалент на “аз се усъмних, ама му дадох парите” – късно е, чадо, човекът хвана самолета…
Шокът от описанието и коментарите са част от трика, който преодолява “защитата” ви. Колко сте се съмнявали няма нито капка значение – значение има единствено дали сте се хванали, или не. Във вашия случай сте се хванали. Дори ако антивирусът е успял да ви опази, това не е ваша заслуга – направил го е ВЪПРЕКИ вас.
Горещо съветвам да се научите НИКОГА да не се хващате на подобни номера. В противен случай има да ви доят и по телефона, и пред чейнчбюрата, и където още се сетите (и най-вече където не смогнете да се сетите). Погрижете се за себе си – отучете се от хващане на номера. Отучете се така, че да не се хващате дори в шок, независимо колко тежък.
И още повече се погрижете да отучите приятелката си – тя определено има нужда. Ако успеете, ще й спасите като минимум немалко пари. Ако не и нещо по-лошо – вече чувам, че по разни по-бедни държави така наивници дават я кръв, я бъбрек, я дете, я всичките си органи барабар с живота. Който не се пази сам, и Господ не може да го опази. Да не говорим за недоразумения като полицията или съда.
Каква е причината да отворите линка също е без абсолютно никакво значение. От значение е единствено дали сте го отворили, или не. Съжалявам за суровия подход, но вирусите отдавна вече не са “ама какво толкова ще ми направи”.
От блога на Григор Гачев
