blog.malwarelist.org

Uno dei fenomi più diffusi del Web 2.0 sono sicuramente i social network.

Con l'avvento di queste nuove piattaforme si sono aperte nuove strade per gli utenti per rimanere in contatto con i propri amici o i propri familiari e ci sono centinaia di nuove opportunità per l'intrattenimento su Internet.

Il maggiore social network, di questi tempi, è Facebook e sicuramente è il più diffuso.

Questa enorme diffusione ha sicuramente aperto nuove strade anche ai diffusori di malware, che hanno trovato il veicolo ideale per riversare ogni tipo di software nella rete e per diffonderlo tra gli utenti di questi network.

Nel caso del KoobFace.E la tecnica usata per diffonderlo è quella di notificare all'utente, tramite una falsa email che somiglia in tutto e per tutto ad una autentica, che il software di facebook ha bisogno di un aggiornamento e che bisogna effettuare il login per poterlo scaricare.

Ne riportiamo nel seguito un esempio.

(Cliccare sull'immagine per ingrandirla)

Una volta che si clicca sui link si verrà portati ad una falsa pagina di login di facebook nella quale vengono chiesti username e password del proprio account facebook.

Gia inserendo i propri dati in questa pagina si corre il rischio che vengano rubati e che il proprio account facebook venga utilizzato per diffondere ulteriormente virus/malware.

Naturalmente basta inserire anche valori casuali per poter accedere alla pagina di scaricamento, lo scopo di chi crea questi malware infatti è raggiungere la massima diffusione possibile.

Una volta fornite le proprie credenziali viene presentata una pagina con un messaggio che ci avverte (in inglese) che per continuare ad utilizzare facebook è necessario scaricare un programma di aggiornamento che introdurrà delle nuove irrinunciabili funzionalità per gli utenti.

Niente di più falso.

Il fantomatico updatetool.exe è infatti un malware che, una volta eseguito, si copia in C:\Windows\System32 con il nome sdra64.exe.

Si mette in esecuzione automatica agganciandosi alla voce del registro che riguarda userinit.exe e quindi viene eseguito ad ogni avvio del sistema.

L'esecuzione dello sdra64.exe è trasparente per l'utente, l'unico effetto visibile, infatti, è un sensibile rallentamento della macchina.

Se connessi a internet il KoobFace.E (sdra64.exe) può scaricare altri malware, inviare informazioni sensibili a dei server prestabiliti o criptare i propri documenti per poi chiedere un "riscatto" per poterli decriptare.

Se ricevete questa mail di notifica di aggiornamenti di facebook, il miglior modo per difendersi è cestinarla. L'aggiornamento di Facebook o di qualsiasi altro sito di social networking non dipende infatti dai computer di chi lo usa, ma dai server che lo ospitano.

http://www.tgsoft.it