حصري من شركة الحصان الذهبيEmsisoft Anti-Malware تحذير من طروادة المتطفل على الفيس بوك

الخبرالجديد من الشركة العملاقة

Emsisoft Anti-Malware

:ok::ok:






:ok::ok:




تحذير : مفاجأة طروادة المتطفل على الفيس بوك

:eek::eek::eek:

وأضاف الرسائل المتلقاة من أي وقت مضى من أصدقائك فيس بوك تحتوي على إشعار أو دعوة ، مثل دعوة لزيارة موقع معين ، مع رسالة مثيرة للاهتمام ، مثل "يا شاهد هذا ، باردة جدا!"؟ في معظم الحالات ، فإن المتلقي للرسالة نكون سعداء لمتابعته ، وخاصة إذا تم إرسال الرسالة من جانب واحد من أفضل الأصدقاء ، الذي تثق به. ومع ذلك ، هل فكرت أنه يمكن إرسالها من خلال متسلل ، والبريد المزعج ، أو حتى الفيروسات؟

مثل أمس ، تلقى واحد من أصدقائي "مفاجأة" من بوك ، ولكن سرعان ما أدركت أن كانت مصابة الآن جهاز الكمبيوتر الخاص به مع طروادة ، فضلا عن جعله "آلة غير مرغوب فيها."

كما ترون ، وكان الموقع لا أصل بوك ، ولكن "hxxp : / / بوك ، مفاجأة ، kjeg.tk /". من خلال تقنيات الهندسة الاجتماعية ، ويجعل الكاتب عمدا تبدو مثل موقع الاصل واحد ، بطبيعة الحال ، لإعطاء المستخدمين شعورا زائفا بالأمن.

وعندما تحوم الماوس في تلك الصفحة ، ويبدو أن ذلك هو الارتباط الذي يؤدي إلى "suprise.exe" ملف (hxxp : / / facebook-surprise-kjeg.tk/surprise.exe). الملف نفسه باستخدام الرمز الذي يشبه الرمز الافتراضي من ملف الصورة :

بمجرد أن يقوم المستخدم بتشغيل الملف ، فإنه سيتم عرض فقط "هدية" صورة من هذا القبيل :

ولكن ، دون أن يدركوا ذلك ، حصان طروادة يصيب أجهزة الكمبيوتر في الخلفية.

على ما يبدو ، كل ذلك يأتي من الرسالة التي تلقاها على حساب بوك له. وتبدو هذه الرسائل : "لقد حصلت يو www.nyhelyofedoerej.blogspot.com مفاجأة".

عندما يتم النقر على الرابط ذلك سيؤدي الى حساب على بلوغسبوت ، ومن ثم يتم إعادة توجيه مرة أخرى إلى hxxp : / / بوك ، مفاجأة ، kjeg.tk /.

حالما يتم تنفيذ الملف "surprise.exe" ، فإنه سيتم رصد كل نشاط المستخدم ثم ، عن طريق حقن نفسه إلى المستعرض النشطة ، مثل إنترنت إكسبلورر أو موزيلا فايرفوكس. إذا كان المستخدم يحاول الدخول إلى حساب له بوك ، فإن البرمجيات الخبيثة تسجيل اسم المستخدم وكلمة المرور ، لاستخدامها في البريد الالكتروني غير المرغوب إلى كل صديق على حساب بوك. يمكن للمستخدمين معرفة ذلك من خلال النظر في المجلد "بعث".

ومن المثير للاهتمام ، والكاتب يقول لنا ما كان يقوم به وراء الكواليس (أو نسي لإزالة سلسلة التصحيح؟). سوف تظهر هذه الرسائل عندما نقوم بتشغيل المصحح ، أو لرصد DebugView إخراج التصحيح. ونحن الحصول على السجل التالي عندما الخبيثة تحاول الدخول إلى حساب بوك :

والتالية عند طروادة لم المزعج لجميع الاصدقاء في حساب بوك :

قبل القيام المزعج ، فإنه يؤدي إلى طلب إحضار عنوان "ddk1000.org/ab/setup.php؟ قانون fb_get =" للحصول على البيانات المستخدمة في الرسائل غير المرغوب فيها ، مثل الموضوع ، نص الرسالة ، وعنوان الموقع الخبيثة التي تستخدم لالمزعج.


للمتابعة

:q:

Excerpt from our Emsisoft Research Blog.



Detection and removal
:d::d:


<img style="padding: 0px 20px 20px;" alt="Emsisoft Anti-Malware" align="right" border="0" height="120" width="120"> Emsisoft detects this malware as:


:eek::eek:

Trojan-Downloader.Win32.FraudLoad

:eek::eek:




:y: Emsisoft Anti-Malware and :y: Online Armor ++ will automatically block the trojan if you try to download and execute the infected file.
Always stay alert and be cautious with everything you receive. And don’t forget to update your Emsisoft Anti-Malware manually if you don't use a full version with automatic updates.
Questions?

Ask us! Quick access and the best possible support are important to us. Even if you do not actually require help, you are more than welcome to ask us questions and be the first to get the latest news. The following platforms are available for this:

• Visit our Support Forum.
• Follow us on Twitter.
• Become a fan on Facebook.

Ever received messages from your Facebook friends containing a notice or invitation, such as an invitation to visit a particular site, added with an interesting message, like “Hey watch this, so cool!”? In most cases, the recipient of the message will be happy to follow it, especially if the message was sent by one of your best friends, which you trust. However, did you ever think that it could be sent by an intruder, spam, or even viruses?
Like yesterday, one of my friends received a “surprise” from Facebook, but then soon realized that his computer was now infected with the trojan, as well as making it a “spam machine.”

As you can see, the site was not the original of Facebook, but “hxxp://facebook-surprise-kjeg.tk/”. Through social engineering techniques, the author deliberately makes the site look like the original one, of course, to give users a false sense of security.
And when the mouse is hovering at that page, it would seem that it is a link that leads to the file “suprise.exe” (hxxp://facebook-surprise-kjeg.tk/surprise.exe). The file itself is using an icon that similar to the default icon of image file:

Once the user runs the file, it will only display a “gift” image like this:

But, without realizing it, a Trojan infecting the computers in the background.
Apparently, it all comes from a message that he received on his Facebook account. The messages look like this: “I got u surprise www.nyhelyofedoerej.blogspot.com.”

When the link is clicked it will lead to an account on Blogspot, and then it is redirected again to hxxp://facebook-surprise-kjeg.tk/.


Once the file “surprise.exe” is executed, it will then monitor all user activity, by injecting itself to the active browser, such as Internet Explorer or Mozilla Firefox. If the user tries to login into his Facebook account, the malware will record the username and password, to be used to spamming to every friend on the Facebook account. Users can find out by looking at the folder “sent”.

Interestingly, the author tells us what he was doing behind the scenes (or he forgot to remove the debug string?). These messages will appear when we run the debugger, or DebugView to monitor debug output. We obtain the following log when the malware is trying to login into the facebook account:

And the following when the trojan did spam to all friends in the Facebook account:

Before doing spam, it performs the GET request to address “ddk1000.org/ab/setup.php?act=fb_get” to obtain data used for spam, such as subject, message body, and the malicious url that is used for spam. The data is a string like this:

3000|140000|Hello|I got u surprise |My Dear Friend u should look for |I have surprise for u
[www.ebyqerapinylyrato.blogspot.com|www.udenaqylina big.blogspot.com|www.kuopyqupisee.blogspot.com|
www.sebafelumunynuly.blogspot.com|www.sypupolufoig irisyc.blogspot.com|www.ogyohanofaeqis.blogspot.co m|
www.juyeliadileqaq.blogspot.com|www.gyseuodysecu.b logspot.com|www.pucoriiukiylyfo.blogspot.com|
www.yycugecuisehe.blogspot.com|www.nyhelyofedoerej .blogspot.com|www.teejoubiimanuh.blogspot.com|
www.timeteobyqufousy.blogspot.com|www.ooapetyuqato da.blogspot.com|www.okojylimukikap.blogspot.com|
www.milurudutyfebusab.blogspot.com]

Following is the malicious site that we get from the data above (please don’t visit, some link are still active):

• hxxp://ebyqerapinylyrato.blogspot.com
• hxxp://udenaqylinabig.blogspot.com
• hxxp://kuopyqupisee.blogspot.com
• hxxp://sebafelumunynuly.blogspot.com
• hxxp://sypupolufoigirisyc.blogspot.com
• hxxp://ogyohanofaeqis.blogspot.com
• hxxp://juyeliadileqaq.blogspot.com
• hxxp://gyseuodysecu.blogspot.com
• hxxp://pucoriiukiylyfo.blogspot.com
• hxxp://yycugecuisehe.blogspot.com
• hxxp://nyhelyofedoerej.blogspot.com
• hxxp://teejoubiimanuh.blogspot.com
• hxxp://timeteobyqufousy.blogspot.com
• hxxp://ooapetyuqatoda.blogspot.com
• hxxp://okojylimukikap.blogspot.com
• hxxp://milurudutyfebusab.blogspot.com

المعذره أخواني بخصوص الترجمة من(( قوقل)) :d:




بالتوفيق للجميع

أكثر...