Koobface Worm intreaba de Captcha

1

In urma cu ceva vreme au fost discutii privind posibilitatea de a folosi Google Reader ca loc de depozitare a spamului,aceeasi reactie vazandu-se in virusul Koobface.Aceasta varianta foloseste Google Reader pentru a pastra pagini ce fac trimitere catre hosturile malware-ului.
koobface-captcha-00[1]
Cand utilizatorul incearca sa vizioneze filmul de pe Youtube, este redirectat catre :

hxxp://www.hs-limmattal.ch/{blocked}/

ce se pretinde a fi un centru de ajutor Facebook care ironic ofera informatii despre cum sa ne protejam de wormul Koobface.
koobface-captcha-02[1]
Utilizatorului ii este oferit un link de download cu un fisier de aproximativ 32 de MB in care se pretinde ca ar fi o solutie de antivirus ce elimina acest worm.In realitate fisierul are doar 40,5 KB,insa descarcarea nu se opreste aici, malware-ul continuand sa descarce diverse componente ale sale.De asemenea verifica daca este la cea mai recenta versiune a sa ,descarcand-o pe ultima daca este necesar.

Varianta aceasta a virusului Koobface urmareste si cookiurile ce pe masina infectata si incearca sa le trimita la un server remote.
Un alt lucru interesant si amuzant in acelasi timp este faptul ca Koobface incearca sa sparga Captcha-ul de la Facebook creand un nou utilizator.Computerul infectat va vedea imaginea Captcha precum si un timer ce arata cat timp mai are la dispozitie pana computerul se inchide.In realitate, unitatea infectata nu se inchide niciodata ci ramane inghetata pana cand este introdus codul din imagine.
koobface-captcha-4[1]
Dupa ce este introdus codul corect din imagine,un fisier JPEG al captch-ului este trimis catre serverul remote (dupa cum se vede in imaginea de mai jos)
koobface-captcha-008[1]

Acest worm fura informatii pentru accesul la conturile de email,ftp si IM.Informatiile criptate sunt trimise catre centrul de comanda al virusului.De asemenea a fost observata o redirectare a rezultatelor de pe motoarele de cautare.

Pentru a scapa de acesta trebuie eliminate urmatoarele procese astfel :

* Apasa Ctrl+Alt+Del
* Du-te la Task Manager
* Selecteaza procesele
* Cauta RUNDLL32.exe si inchide procesul
* Cauta rdr_xxxxxxxx si inchide procesul

Dupa acesti pasi computerul tau va reveni la normal.

Mai multe detalii pe blogul avertlabs.com

Etichete:

— Andrei Avădănei a scris 1246 articole

Andrei scrie pe worldit.info din vara lui 2011. Este fondatorul Asociatiei Centrul de Cercetare in Securitate Informatica din Romania - CCSIR si coordoneaza DefCamp, cea mai importanta conferinta de securitate informatica & hacking din Europa Centrala si de Est. Andrei ofera in cadrul Bit Sentinel servicii de securitate informatica, penetration testing, security management, recuperarea de pe urma unui atac cibernetic, training-uri si workshop-uri.

1 Comentariu

  1. dage spune:
    noiembrie 30, 2009 la 2:41 pm

    Interesant virusul, destept cel care l-a creat… Tare faza cu Captcha.