Virus en fb?

1mpuls0 · 27 Enero 2011, 23:07 PM

Hola que tal, hace un momento estaba en mi fb y me apareció un mensaje de una amiga donde solo decía.
"hahaha foto
http://apps.facebook.com/photoyeahhh/photo.php?=100000504053506 "

Se me hizo un poco sospechoso así que decidí averiguar con precaución.

Me pedía que descagara una aplicación, algo que nunca había mirado.

Estoy equivocado?

A alguien mas le ha sucedido.

Un saludo.

#!drvy · 27 Enero 2011, 23:33 PM

Ultimamente no paran de llamarme los amigos por virus que les han entrado "mirando" el facebook....

Saludos

Littlehorse · 28 Enero 2011, 00:26 AM

Si, es un virus, específicamente un bot IRC.

http://www.virustotal.com/file-scan/report.html?id=e36a6c4afbe759350c67d736c6dd63b7f23aeff5fb4ed0483da7f267e85d2f3e-1296169699

En este caso el malware se aloja en un sitio web que al parecer no es falso pero de seguro ha sido comprometido:

http://foxy-golf.com/img/facebook-pic000934519.exe

CitarRegistrant:
foxy golf
40 w turkeyfoot lake rd.
akron, Ohio 44319
United States

Domain Name: FOXY-GOLF.COM
Created on: 13-May-08
Expires on: 13-May-12
Last Updated on: 14-May-10

http://www.foxy-golf.com/

Probablemente porque contiene una versión de OsCommerce vulnerable. Igualmente el archivo ejecutable del malware debe estar alojado en varios servidores y de seguro es ejecutado a través de varias aplicaciones de Facebook en pos que sea mas dificil erradicarlo completamente.

No lo ejecutes.

Saludos
PD: Esto va mejor en Seguridad. Pídele a algún moderador que te lo mueva.

[Zero] · 28 Enero 2011, 00:35 AM

Vaya, no sabía que se podía hacer eso en facebook, madre mía, ya me dirás cuantos usuarios pueden ser infectados con una descarga de un ejecutable desde el dominio facebook.com, viva la seguridad....

Saludos

hondaloverxd · 28 Enero 2011, 00:38 AM

si mi hermano lo abrio, es esa cosa se mete en todo lado, abre el messenger y envia el link a tus contactos diciendo que es una foto, te abre una ventana en él navegador que no la puedes cerrar cada que la cierras abre otra y otra $:-\$ vale que norton me borro eso

anonimo12121 · 28 Enero 2011, 00:54 AM

ami uno de mi msn me manda lo mismo haha foto.

Draklit · 28 Enero 2011, 04:34 AM

¿Cómo se elimina?

Littlehorse · 28 Enero 2011, 05:57 AM

Bueno, salte el login de la web y encontré la shell que el atacante había subido en primera instancia, la use para borrar el contenido malicioso.

Le envié un mail al administrador del sitio ya que si no se pone en campaña esa web no tardara mucho en volver a quedar infectada.

Borre la shell también, pero seguramente habrá otras instaladas.

Cita de: Draklit en 28 Enero 2011, 04:34 AM
¿Cómo se elimina?

La verdad es que pensé que había hecho un backup del archivo malicioso pero lo borre del host infectado y tampoco lo veo en mi PC. Si alguien lo tiene que me lo pase y lo reviso.

Igualmente no debe ser nada complejo. Creara algunas entradas de registro y se inyectara en algunos procesos y poco mas.

Saludos

Edu · 28 Enero 2011, 14:27 PM

Los otros dia vi lo mismo, me dio asco facebook xD
Como lo hacen? por msn si q se como hacerlo pero en facebook? :S buena seguridad!

Draklit · 28 Enero 2011, 15:54 PM

No entiendo por qué debería ser tanto más dificil en Facebook...