Hola que tal, hace un momento estaba en mi fb y me apareció un mensaje de una amiga donde solo decía.
"hahaha foto
http://apps.facebook.com/photoyeahhh/photo.php?=100000504053506 "
Se me hizo un poco sospechoso así que decidí averiguar con precaución.
Me pedía que descagara una aplicación, algo que nunca había mirado.
Estoy equivocado?
A alguien mas le ha sucedido.
Un saludo.
Ultimamente no paran de llamarme los amigos por virus que les han entrado "mirando" el facebook....
Saludos
Si, es un virus, específicamente un bot IRC.
http://www.virustotal.com/file-scan/report.html?id=e36a6c4afbe759350c67d736c6dd63b7f23aeff5fb4ed0483da7f267e85d2f3e-1296169699 (http://www.virustotal.com/file-scan/report.html?id=e36a6c4afbe759350c67d736c6dd63b7f23aeff5fb4ed0483da7f267e85d2f3e-1296169699)
En este caso el malware se aloja en un sitio web que al parecer no es falso pero de seguro ha sido comprometido:
http://foxy-golf.com/img/facebook-pic000934519.exe
CitarRegistrant:
foxy golf
40 w turkeyfoot lake rd.
akron, Ohio 44319
United States
Domain Name: FOXY-GOLF.COM
Created on: 13-May-08
Expires on: 13-May-12
Last Updated on: 14-May-10
http://www.foxy-golf.com/
Probablemente porque contiene una versión de OsCommerce vulnerable. Igualmente el archivo ejecutable del malware debe estar alojado en varios servidores y de seguro es ejecutado a través de varias aplicaciones de Facebook en pos que sea mas dificil erradicarlo completamente.
No lo ejecutes.
Saludos
PD: Esto va mejor en Seguridad (https://foro.elhacker.net/seguridad-b23.0/). Pídele a algún moderador que te lo mueva. :)
Vaya, no sabía que se podía hacer eso en facebook, madre mía, ya me dirás cuantos usuarios pueden ser infectados con una descarga de un ejecutable desde el dominio facebook.com, viva la seguridad....
Saludos
si mi hermano lo abrio, es esa cosa se mete en todo lado, abre el messenger y envia el link a tus contactos diciendo que es una foto, te abre una ventana en él navegador que no la puedes cerrar cada que la cierras abre otra y otra :-\ vale que norton me borro eso
ami uno de mi msn me manda lo mismo haha foto.
¿Cómo se elimina?
Bueno, salte el login de la web y encontré la shell que el atacante había subido en primera instancia, la use para borrar el contenido malicioso.
Le envié un mail al administrador del sitio ya que si no se pone en campaña esa web no tardara mucho en volver a quedar infectada.
Borre la shell también, pero seguramente habrá otras instaladas.
Cita de: Draklit en 28 Enero 2011, 04:34 AM
¿Cómo se elimina?
La verdad es que pensé que había hecho un backup del archivo malicioso pero lo borre del host infectado y tampoco lo veo en mi PC. Si alguien lo tiene que me lo pase y lo reviso.
Igualmente no debe ser nada complejo. Creara algunas entradas de registro y se inyectara en algunos procesos y poco mas.
Saludos
Los otros dia vi lo mismo, me dio asco facebook xD
Como lo hacen? por msn si q se como hacerlo pero en facebook? :S buena seguridad!
No entiendo por qué debería ser tanto más dificil en Facebook...
Porque no tengo idea yo, otro talvez si, entiendes porq pregunte? xD
Ah... sí xD
ami me paso lo mismo hoy `pense que el virus era del msn ya que yo se lo vii aun contacto del msn
Si ven otros links distinto a este, posteenlo así vamos desinfectando los hosts. Ademas me quede con ganas de analizar el ejecutable malicioso.
Cita de: XXX-ZERO-XXX en 28 Enero 2011, 14:27 PM
Los otros dia vi lo mismo, me dio asco facebook xD
Como lo hacen? por msn si q se como hacerlo pero en facebook? :S buena seguridad!
De hecho es bastante sencillo.
En este caso se vulnero un host para subir los archivos de la aplicación de Facebook y el ejecutable del malware. Se suelen ver seguido este tipo de practicas, muchos sitios web se encuentran infectados sin saberlo.
Facebook es solo el vector de transmisión dado que el atacante creo una aplicación (http://developers.facebook.com/) que cargaba el contenido del host infectado (path.com/img/). No porque el atacante haya vulnerado Facebook ni nada similar, es muy fácil crear una aplicación en Facebook.
Igualmente es verdad que la seguridad de Facebook deja bastante que desear en varios sentidos. Entre algun XSS que hay por ahi, mas el poco soporte a https (que recién ahora supuestamente va a cambiar) mas el recordar contraseña que revela a terceros tus direcciones de mail y numero de móvil aunque tengas esos datos puestos como privados, entre otras cosas, la hacen una plataforma muy insegura para la cantidad de usuarios que tiene.
Con solo decir que le hackearon la cuenta a Mark Zuckerberg (o mejor dicho, al equipo que se la manejaba) imagina que le queda al resto. ;-)
Saludos
Pasa esto porq tratan a los hackers como algo malo, una empresa inteligente contrataria al q entro en su sistema, no lo denunciaria ni nada.
Dices entonces q cuando me mandaron ese mensaje con el link por el chat del facebook, esa persona estaba jugando una aplicacion? si es asi entiendo entonces.
CitarDices entonces q cuando me mandaron ese mensaje con el link por el chat del facebook, esa persona estaba jugando una aplicacion? si es asi entiendo entonces.
No, lo mas probable es que el ordenador de la persona que te envió el mensaje este infectado, y por esa razón enviaba el mensaje a todos sus contactos de Facebook (y seguramente a los contactos de otros servicios)
VirusTotal actualizo el reporte que había hecho yo inicialmente y ahora en lugar de 3 antivirus los detectan 12, así que dile a esa persona que se instale alguno de los antivirus que aparecen aqui (http://www.virustotal.com/file-scan/report.html?id=e36a6c4afbe759350c67d736c6dd63b7f23aeff5fb4ed0483da7f267e85d2f3e-1296261661) y analice su ordenador completamente.
Saludos
Jaa, si funciona como dices pues ni idea de como funciona, ya q digo por ejemplo.. q con la Api del msn se pueden hacer cosas asi para messenger, y en este caso me deja sin palabras, pero claro.. no se nada yo como para q este a mi alcanze ese codigo o solamente la idea de como funciona..
Con "funciona" me refiero a como es el codigo del virus, como logra eso
Cita de: Littlehorse en 28 Enero 2011, 22:54 PM
Si ven otros links distinto a este, posteenlo así vamos desinfectando los hosts. Ademas me quede con ganas de analizar el ejecutable malicioso.
Hola, nuevamente otro de mis contactos envía automáticamente este link.
http://apps.facebook.com/srjemles/photo.php?=100000504053506
Será que solo a mi me aparecen.
Buno no es mi especialidad. Espero que lo puedan revisar.
Saludos.
Ya esta subido a virustotal.com el exe :P
Este creo q funciona distinto al anterior en este tema, este lo bajas desde la web de facebook :S
Y hablando del otro link q dejaron, defacearon la web donde subian el archivo infectado, seguramente la defaceo el mismo..
Citar
Owned by
Muslime Hacker
asd Syria ABOD : b.y@live.coM
SYR Hacking :-----2011-----
La anterior web la defacearon porque tenia demasiados agujeros de seguridad. No creo que haya sido el mismo que la utilizo como medio de propagación.
En cuanto a este nuevo link, la metodología es exactamente la misma. Crear una aplicación en Facebook y cargar el contenido de otro sitio infectado.
El sitio en cuestión es este:
http://burstjam.com/images/
Luego con mas tiempo analizo el ejecutable para ver de que se trata.
Saludos
Que ignorante q soy.
Despues si lo analizas nos cuentas ;)
Bueno lo he visto un poco por encima y a grandes rasgos crea un archivo llamado nvsvc32.exe en la carpeta de Windows y luego agrega excepciones al Firewall. Es decir, se trata de esconder simulando estar relacionado con Nvidia. Luego deshabilita actualizaciones automáticas y demás sistemas de seguridad inherentes a Windows.
Se agrega al inicio con el mismo nombre mediante la modificación de las típicas entradas de registro.
CitarHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
Realiza algunas dns queries a varios dominios, pero no tiene mucha mas actividad de red por el momento. Luego mirare esa parte con mas atención ya que al parecer este bot tiene ciertos problemas con mi VM.
Mañana a la tarde si puedo hago la vacuna y de paso posteo todo mas en detalle. Va a ser mas efectivo que intentar desinfectar los hosts que utiliza, ya que esa seria una tarea interminable.
Saludos
Hice la vacuna ahora porque luego a la tarde no voy a poder.
El código no esta comentado y tiene muy poco manejo de errores, lo hice de esa manera para terminarlo mas rápido. Igualmente no debería ser muy difícil de entender pero si quieren que lo comente lo hago luego.
A grandes rasgos cierra el proceso del malware, elimina algunas entradas del registro, y renombra y mueve el ejecutable malicioso al mismo directorio donde se ejecute la vacuna (renombrado a txt, para el que no quiera perder la muestra).
No le he prestado demasiado tiempo al análisis porque esta a la vista que el malware es muy simple. Tal vez por esa razón me hayan quedado algunas entradas del registro en el tintero, pero en ese caso si alguien ve mas, agréguelas al código. Igualmente con esto el malware no seguirá funcionando.
Vaccine.h
#ifndef VACCINE_H
#define VACCINE_H
#include <iostream>
#include <cstdlib>
#include <windows.h>
#include <Tlhelp32.h>
class Vaccine
{
public:
INT KillProcess(const char* ProcessName);
LONG DeleteReg (HKEY Hkey, const char* SubKey, const char* KeyValue);
INT FileDelete (const char* Path);
};
#endif // VACCINE_H
Vaccine.cpp
#include "Vaccine.h"
INT Vaccine::KillProcess(const char* ProcessName)
{
PROCESSENTRY32 P32 = {0};
P32.dwSize = sizeof( PROCESSENTRY32 );
HANDLE Handle = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
DWORD ExitCode = 0;
if(Process32First(Handle,&P32))
while(strcmp(P32.szExeFile,ProcessName)!= 0 && Process32Next(Handle,&P32));
HANDLE Hprocess = OpenProcess(PROCESS_ALL_ACCESS,0,P32.th32ProcessID);
if(Handle)
{
GetExitCodeProcess(Hprocess,&ExitCode);
TerminateProcess(Hprocess,ExitCode);
return EXIT_SUCCESS;
}
return EXIT_FAILURE;
}
LONG Vaccine::DeleteReg (HKEY Hkey, const char* SubKey, const char* KeyValue)
{
HKEY HkeyHandle;
long RegReturn = 0;
if(!RegOpenKeyEx(Hkey, SubKey, 0, KEY_ALL_ACCESS, &HkeyHandle))
{
RegReturn = RegDeleteValue(HkeyHandle, KeyValue);
RegCloseKey(HkeyHandle);
return RegReturn;
}
return RegReturn;
}
INT Vaccine::FileDelete(const char* Path)
{
SetFileAttributes(Path, FILE_ATTRIBUTE_NORMAL);
MoveFileEx(Path,"NewCopyMalware.txt",MOVEFILE_WRITE_THROUGH);
return EXIT_SUCCESS;
}
main.cpp
#include "Vaccine.h"
int main()
{
Vaccine Vac;
Vac.KillProcess("nvsvc32.exe");
Vac.DeleteReg(HKEY_LOCAL_MACHINE,
"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Terminal Server\\Install\\Software\\Microsoft\\Windows\\CurrentVersion\\Run",
"NVIDIA driver monitor");
Vac.DeleteReg(HKEY_LOCAL_MACHINE,
"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run",
"NVIDIA driver monitor");
Vac.DeleteReg(HKEY_CURRENT_USER,
"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run",
"NVIDIA driver monitor");
Vac.FileDelete("C:\\WINDOWS\\nvsvc32.exe");
system("sc config wuauserv start= auto");
system("net start wuauserv");
system("net start MsMpSvc");
std::cin.get();
return EXIT_SUCCESS;
}
Posiblemente algún antivirus detecte la vacuna como una aplicación riesgosa por las llamadas a system y demás, pero en fin, ahi esta el codigo para el que quiera compilarla.
Ejecutable de la vacuna:
http://www.megaupload.com/?d=X8D580N2
MD5 : 695830eace00c253e11aae440abbae24
SHA1 : 86eb76dd3f1776b50e8442f62879eba8b63d1bb8
SHA256: 0c092a4c2e9edf20f8e3fdc6d08937a8ae7c8a150902dcbc8b28005f4125d97d
Los que la ejecuten recuerden hacerlo como administrador.
Saludos.
Jeje no te hubieras molestado tanto, aunque le servira a mas de uno q entre por ese problemita
No pasa nada, fueron solo 15 minutos. Es preferible eso antes que tratar de desinfectar todos los hosts comprometidos, eso si hubiese llevado tiempo :P.
Saludos
Qué tal.
Aquí otro, a ver si lo pueden revisar e informar.
Citar
nice picture where was this?? :):)
http://apps.facebook.com/bellyloves/photo.php?=mri:13:100000504053506;via=14:fb
Saludos.
En este momento la aplicación esta caída. Si tienes el ejecutable y/o el host lo miro en un rato, pero probablemente sea similar al que analice antes.
Saludos!
Todos los links están caídos. Podríais alguno pasarme el ejecutable o colgar aquí el link? Me gustaría echarle una miradilla, y no creo que sea el único ;). No voy a analizarlo como L.H. pero algo aprenderé... A ver si mañana tengo tiempo y lo miro yo también...
Mm... que raro, está caído el link.
Para la próxima guardaré los ejecutables.
Gracias!
Otro más :P
http://www.facebook.com/pages/Imw/293191124029044
Perdón si ya tiene tiempo este mensaje, no veo la necesidad de crear un nuevo tema.
Saludos.