Ένας νέος ιός κυκλοφορεί αυτή τη στιγμή στο Facebook. Είναι κρυμμένος πίσω από μια διεύθυνση του hidemyass.com (μια υπηρεσία απόκρυψης IP και domain) και οδηγεί σε ιστοσελίδα του blogspot.gr. Ο ιός δεν μπορούμε να πούμε ότι έρχεται από Ελληνικό blog καθώς η blogspot αλλάζει την κατάληξη των domains ανάλογα με την γεωγραφική θέση του επισκέπτη. Με μια καλύτερη ματιά όμως τα πράγματα αλλάζουν.
Παρακάτω μπορείτε να δείτε το μήνυμα που διακινείται μέσω του Facebook. (Την εικόνα μας την έστειλε φίλος μας από το safer-internet.gr)
Αν κάποιος κάνει κλικ πάνω στο “ασφαλές Youtube Video” που έρχεται με το μήνυμα του Facebook, οδηγείται στην παρακάτω διεύθυνση.
Η σελίδα που θα ανοίξει παριστάνει το Youtube αλλά το βίντεο (κλασικά) δεν θα παίξει, αν δεν εγκαταστήσετε το “adobe flash player.”
Στο screenshot του blog που υπάρχει παρακάτω μπορείτε να διακρίνετε το Ελληνικό όνομα που χρησιμοποιεί ο κακόβουλος χρήστης: Προσέξτε το URL της σελίδας. Ο τίτλος της δημοσίευσης είναι ζαχαριας μπισμπιρουλας (Η σελίδα αυτή εμφανίζεται με Firefox)
Αν χρησιμοποιείτε Firefox θα πρέπει να κατεβάσετε το αρχείο (βίντεο) που στην πραγματικότητα είναι εκτελέσιμο αρχείο των Windows (.exe).
Αν κάποιος χρησιμοποιεί Chrome και ανοίξει το URL του hidemyass το εκτελέσιμο αρχείο θα κατέβει μόνο του.
Δείτε την σελίδα που εμφανίζεται στο Chrome
Το κακόβουλο αρχείο κατεβαίνει κάθε φορά με διαφορετικό όνομα, αφού κάθε φορά αλλάζουν οι αριθμοί που περιέχει. Έτσι το “Private_Video_23429.mp4.exe” την επόμενη φορά που θα κατέβει αλλάζει σε “Private_Video_xxxxx.mp4.exe.”
Τι συμβαίνει με τον ιό τώρα:
Ανεβάσαμε το κακόβουλο αρχείο στην jotti.org, τη virustotal και την virscan. Μπορείτε να δείτε τα αποτελέσματα και ποια antivirus τον αναγνωρίζουν.
Περισσότερα στοιχεία για τον ιό και τα αρχεία που εισάγει στο μολυσμένο σύστημα παρακάτω: