Лаборатория Касперского обнаружила вредоносное дополнение к ссылке Facebook

Недавно обнаружилось, что через сервисы обмена мгновенными сообщениями была проведена спам-рассылка сообщений с вредоносными ссылками.

Выяснилось, что рассылка производилась IM-червем Zeroll. Бот генерировал разные сообщения в зависимости от языка получателя.

Злоумышленники использовали, как это часто бывает, методы социальной инженерии, предлагая получателям посмотреть картинки с заманчивыми названиями. В конец сообщения добавлялась ссылка на файл Jenny.jpg и аналогичная ссылка на Sexy.jpg.. Причем, страница, на которую ведет ссылка, сама по себе зловредной не является — она содержит предупреждение от Facebook о том, что пользователь покидает сайт. Если же после "l.php?u=" добавить ссылку на произвольный сайт, то по ссылке также откроется окно с предупреждением Facebook. Однако после того, как пользователь нажмет кнопку "продолжить", он по подставленной ссылке будет перенаправлен на соответствующую страницу. Этим и воспользовались злоумышленники, дополнив легитимную ссылку ссылкой на вредоносный ресурс. Когда браузер переходит на страницу ********.org/Jenny.jpg, ему выдается файл , который может быть запущен на исполнение пользователем. Далее, по тексту, упоминая jenny.jpg и sexy.jpg, будет подразумеваться именно исполняемый файл, упомянутый в предыдущем предложении.
Лаборатория Касперского
Лаборатория Касперского
После анализа "jenny.jpg" и "sexy.jpg", выяснилось, что это обычные даунлоадеры, защищенные упаковщиком, написанном на Visual Basic. Задача даунлоадеров стандартна для этого вида программ: на зараженный компьютер скачать программы, несущие вирус — файл srce.exe. А чтобы пользователь ничего не заподозрил, даунлоадеры после установки на компьютере открывают обещанную в разосланном спам-сообщении «интересную» картинку. Картинка подгружается из интернета — ссылка на нее видна на скриншоте. Srce.exe представляет из себя дроппер + загрузчик, внешняя оболочка которого, опять же, написана с использованием Visual Basic. Скачивает он червя IM-Worm.Win32.XorBot.a, который использует Yahoo Messenger для рассылки сообщений пользователям.

Таким образом, в ходе данной спам-рассылки в IM-сообщениях используется не прямая ссылка на вредоносный объект, а ссылка, указывающая на страницу Facebook. Можно сказать, что в данном случае Facebook используется как сервис, аналогичный bit.ly: он позволяет преобразовывать ссылки и переходить на них через собственный домен. В настоящий момент спам-атака Zeroll продолжается. В сообщениях рассылаются ссылки на другие файлы, но с не менее «заманчивыми» именами — "Girls.jpg" и "Marisella.jpg". И хотя многие знают, что нельзя бездумно переходить по ссылкам, даже если они присланы людьми из контакт-листа, не лишним будет об этом еще раз напомнить.