Новая кроссплатформенная угроза для пользователей социальных сетей

В социальной сети Facebook появился новый зловред, имя ему Trojan-Downloader.Java.Alboto.a.

Схема работы этой вредоносной программы подозрительно похожа на схему koobface, но с одним очень существенным отличием – она написана на языке JAVA. Как следствие, под ударом оказались пользователи всех операционных систем.

Первые жалобы пользователей на эту вредоносную программу появились на сайте компании Apple в начале этого месяца. У пользователей Mac OS X возникли проблемы с установкой новых драйверов для оборудования. В результате этого стало известно еще об одной программе, атакующей Mac.

Сообщение на форуме компании Apple о связи обновления драйверов операционной системы и социальной сети Facebook

Заражение начитается с перехода по ссылке, которую пользователь получает от своих друзей в Facebook. Ссылка или на сторонний блог, или на социальную сеть, или просто на сайт на бесплатном хостинге. Ссылка содержит сообщение «IMPORTANT! PLEASE READ» или «Is this you in this video here».

Предупреждение социальной сети Facebook о том, что пользователь покидает социальную сеть

После этого пользователь попадает на сайт с видео или галереей, для просмотра которых требуется установить JAVA-аплет.

Информирование пользователя об установке JAVA-приложения

После установки этого аплета компьютер жертвы начинает генерировать адреса для получения вредоносных дополнений.

 
Пример перебора адресов для поиска дополнений

Декомпилированная часть JAVA-аплета для генерирования адресов вредоносных серверов обновлений на основе текущего времени

После нахождения сервера обновлений вредоносная программа устанавливает обновления для операционных систем Windows и Mac OS. Тут пишут про Ubuntu, но подтверждений пока нет.

Пример сообщений пользователей об установке вредоносного обновления для OS X

После установки обновлений на эти операционные системы рассылка продолжается, а зараженные компьютеры становятся частью ботнета.

География распространения данной угрозы сейчас — это Северная Америка, что не удивительно, так как Facebook популярна именно в Северной Америке. Однако по мере роста и добавления модулей для других социальных сетей все скоро может очень измениться.

Карта распространения вредоносной программы Trojan-Downloader.Java.Alboto.a на основе статистики KSN от пользователей KIS 2010

UPD1. 29 10 2010, 22:15 На текущий момент сервера обновлений выключены.

UPD2. 29 10 2010, 23:00 Найдены вредоносные сообщения вне Facebook.

UPD3. 30 10 2010, 00:30 Задетектировали Trojan-Downloader.Java.Alboto.b.

UPD4. 30 10 2010, 7:40 За ночь троян добрался до России

UPD5. 01 11 2010, 10:30 Ниже данные за выходные. Интересно, что из-за метода перебора домена в поисках центра обновлений скорость распространения очень и очень медленная

UPD6. 02 11 2010, 21:30 Trojan-Downloader.Java.Alboto.c отправлен на детектирование