Facebook-Schädling infiziert 110.000 Nutzer

In den Weiten des größten sozialen Netzwerks, Facebook, treibt ein Trojaner sein Unwesen, der bereits um die 110.000 Nutzer innerhalb von zwei Tagen infiziert hat.

Der Schädling verbreitet sich, indem er Links auf ein Pornovideo von den Profilen bereits infizierter Opfer postet. Solche Postings sind normalerweise nur an nicht mehr als 20 Kontakte aus der Freundesliste adressiert. Klickt ein Nutzer auf den Link, wird das Video zunächst abgespielt, dann hält es plötzlich an und es erscheint eine Aufforderung, ein Update für den Flash Player zu installieren, das aber tatsächlich einen trojanischen Downloader enthält.

Vorläufige Ermittlungen, deren Einzelheiten über eine Mailing-Liste von Full Disclosure von dem IT-Sicherheitsexperten Mohammad Faghani veröffentlicht wurden, haben gezeigt, dass der zielgerichtete Schädling Tastaturbetätigungen und Mausbewegungen simulieren kann. Ein Infektionssymptom ist die Anwesenheit des Prozesses Chrome.exe im System.

Im Gegensatz zu früheren Trojanern für Facebook, die sich häufig über Privatmitteilungen unter Freunden verbreitet haben, bedient sich dieser einer Technik, die Faghani Magnet nennt. Da dieser Trojaner die schädlichen Postings an eine Vielzahl von Nutzern adressiert, wird der von ihm gepostete Content nicht nur für die Adressaten, sondern auch für deren Freunde sichtbar. Das gewährleistet laut Faghin ein hohes Ausbreitungstempo.

Faghin hat seine Analyse dieser Bedrohung bisher noch nicht abgeschlossen und verspricht weitere Erkenntnisse auf Full Disclosure zu veröffentlichen.

Der gefälschte Flash Player hat die MD5 Hash „cdcc132fad2e819e7ab94e5e564e8968″ und die SHA1 Hash „b836facdde6c866db5ad3f582c86a7f99db09784″. Faghin weist darauf hin, dass die schädliche Datei die Dateien chromium.exe, wget.exe, arsiv.exe und verclsid.exe lädt und zudem versucht, sich mit den Adressen www[dot]filmver[dot]com und www[dot]pornokan[dot]com zu verbinden.

Die Experten von Facebook sind über die Vorgänge informiert und versuchen, eine weitere Ausbreitung des Schädlings zu verhindern, indem sie die schädlichen Links blockieren. „Wir verwenden eine Reihe von automatisierten Systemen, um potentiell gefährliche Links aufzuspüren und ihre Ausbreitung einzuschränken“, erklärte ein Facebook-Vertreter den Journalisten von Threatpost. „Uns sind ähnliche Malware-Varianten bekannt, die sich normalerweise als Browsererweiterungen ausgeben und sich über Links in sozialen Netzwerken ausbreiten. Wir blockieren die Links auf schädliche Ressourcen, schlagen verschiedene Methoden zur Säuberung des Systems vor und ergreifen weitere Maßnahmen, damit Facebook bequem und sicher genutzt werden kann.“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.