Virus en fb?

Iniciado por 1mpuls0, 27 Enero 2011, 23:07 PM

0 Miembros y 2 Visitantes están viendo este tema.

1mpuls0

Hola que tal, hace un momento estaba en mi fb y me apareció un mensaje de una amiga donde solo decía.
"hahaha foto
http://apps.facebook.com/photoyeahhh/photo.php?=100000504053506 "

Se me hizo un poco sospechoso así que decidí averiguar con precaución.

Me pedía que descagara una aplicación, algo que nunca había mirado.

Estoy equivocado?

A alguien mas le ha sucedido.

Un saludo.
abc

#!drvy

Ultimamente no paran de llamarme los amigos por virus que les han entrado "mirando" el facebook....




Saludos

Littlehorse

#2
Si, es un virus, específicamente un bot IRC.

http://www.virustotal.com/file-scan/report.html?id=e36a6c4afbe759350c67d736c6dd63b7f23aeff5fb4ed0483da7f267e85d2f3e-1296169699

En este caso el malware se aloja en un sitio web que al parecer no es falso pero de seguro ha sido comprometido:

http://foxy-golf.com/img/facebook-pic000934519.exe

CitarRegistrant:
foxy golf
40 w turkeyfoot lake rd.
akron, Ohio 44319
United States

Domain Name: FOXY-GOLF.COM
Created on: 13-May-08
Expires on: 13-May-12
Last Updated on: 14-May-10

http://www.foxy-golf.com/

Probablemente porque contiene una versión de OsCommerce vulnerable. Igualmente el archivo ejecutable del malware debe estar alojado en varios servidores y de seguro es ejecutado a través de varias aplicaciones de Facebook en pos que sea mas dificil erradicarlo completamente.

No lo ejecutes.

Saludos
PD: Esto va mejor en Seguridad. Pídele a algún moderador que te lo mueva.  :)
An expert is a man who has made all the mistakes which can be made, in a very narrow field.

[Zero]

Vaya, no sabía que se podía hacer eso en facebook, madre mía, ya me dirás cuantos usuarios pueden ser infectados con una descarga de un ejecutable desde el dominio facebook.com, viva la seguridad....

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

hondaloverxd

si mi hermano lo abrio, es esa cosa se mete en todo lado, abre el messenger y envia el link a tus contactos diciendo que es una foto, te abre una ventana en él navegador que no la puedes cerrar cada que la cierras abre otra y otra  :-\ vale que norton me borro eso 

anonimo12121

ami uno de mi msn me manda lo mismo haha foto.
Página para ganar Bitcoins y Dinero: http://earnbit.hol.es/
Video de YouTube con Hack para el LoL: http://adf.ly/5033746/youtube-lolemuhack
Si quieres ganar dinero con adfly entra y registrate aquí -> http://adf.ly/?id=5033746

Draklit

¿Cómo se elimina?

Littlehorse

#7
Bueno, salte el login de la web y encontré la shell que el atacante había subido en primera instancia, la use para borrar el contenido malicioso.

Le envié un mail al administrador del sitio ya que si no se pone en campaña esa web no tardara mucho en volver a quedar infectada.

Borre la shell también, pero seguramente habrá otras instaladas.

Cita de: Draklit en 28 Enero 2011, 04:34 AM
¿Cómo se elimina?

La verdad es que pensé que había hecho un backup del archivo malicioso pero lo borre del host infectado y tampoco lo veo en mi PC. Si alguien lo tiene que me lo pase y lo reviso.

Igualmente no debe ser nada complejo. Creara algunas entradas de registro y se inyectara en algunos procesos y poco mas.

Saludos
An expert is a man who has made all the mistakes which can be made, in a very narrow field.

Edu

Los otros dia vi lo mismo, me dio asco facebook xD
Como lo hacen? por msn si q se como hacerlo pero en facebook? :S buena seguridad!

Draklit

No entiendo por qué debería ser tanto más dificil en Facebook...