В Facebook обнаружен один из самых интересных троянов

На днях в Facebook был обнаружен один из самых интересных троянов для социальных сетей. Софт обладает богатым функционалом, например, использует идентификаторы и контакты жертвы в Facebook для самораспространения, блокирует средства защиты и удаляет установленный на компьютере антивирус, заменяя его поддельным, а также загружает дополнительные модули и поддерживает связь с другими участниками вирусной р2р-сети.

Троян перехватывает сессию жертвы с другим участником социальной сети, вставляя в переписку между юзерами сообщение со ссылкой на некий видеоролик, главным героем которого якобы является один из объектов разговора. Ссылка ведет на фейковую страницу YouTube с соответствующим именем в заголовке (корректно скопированным из профиля) и нелицеприятными комментариями друзей (их имена позаимствованы из списка контактов). При попытке запустить «видеоролик» пользователю предлагается установить новую версию Flash Player, воспользовавшись ссылкой. По ссылке — хорошо закриптованный троян.

Софт грамотно написан, обладает целым рядом новых и интересных функций. Например, может добавлять себя к списку разрешенных приложений в брандмауэре или просто его отключает, блокирует системы обновления Windows и антивируса. Одним из компонентов трояна является фейковый антивирус, который умеет детально воспроизводить интерфейс 16-ти реальных антивирусов. Генерация конкретного фейка антивируса зависит от языковых настроек, зон и даты на компьютере.

Другой модуль трояна, даунлоудер, загружает на зараженную машину файл со списками IP-адресов. URL сайта, с которого производится загрузка, зависит от типа операционной системы, установленной на компьютере. Другой список IP-адресов, которым оперирует троян, жестко прописан в коде. Эти списки регулярно обновляются и нужны для осуществления полноценного обмена между ботами в ботнете, при чем взаимодействие идет строго по протоколу р2р.