Antivirusinės programinės įrangos gamintoja bendrovė „Bitdefender“ perspėjo apie socialinio tinklo „Facebook“ vartotojų kompiuterius puldinėjantį itin pavojingą Trojos virusą, pasižymintį dideliu socialinės inžinerijos efektyvumu.
„Bitdefender“ specialistai pranešė „Facebook“ tinkle aptikę „Trojan.FakeAV.LVT“ virusą, išmoningai apgaudinėjantį interneto vartotojus ir gebantį iš užkrėstų kompiuterių pašalinti antivirusines programas, taip atveriant tiesų kelią į „kompiuterių – zombių“ tinklus.
Skelbiama, kad „Trojan.FakeAV.LVT“ Trojos virusas išsiskiria iš kitų itin pažangiu funkcionalumu: tarp išskirtinių jo savybių minima galimybė maskuotis, nes pašalinęs tikras antivirusines programas jis pats imasi imituoti jų veikimą, praneša „Net-security.org“.
Viruso ataka pradedama tuo metu, kai į „Facebook“ vartotoją per pokalbių programą kreipiasi tariamas jo draugas ir angliškai teiraujasi, ar tikrai jis nufilmuotas šiame vaizdo klipe („Hi. How are you? It is you on the video? Want to see?“). Po šių žodžių pateikiama nuoroda į „YouTube“ portalą.
Jei suintriguotas „Facebook“ vartotojas ją spusteli, patenka į tinklalapį su videoklipu, kurio antraštėje minimas jo vardas. Paties vaizdo klipo pamatyti negalima: tuščioje vietoje matyti užrašas, kad reikia atnaujinti savo „Adobe Flash“ grotuvą. Žemiau matyti keli videoklipą neva žiūrėjusių vartotojų komentarai, kuriuos neva parašė „Facebook“ vartotojo draugai. „Tai siaubinga“, „be žodžių“, „jam turėtų būti gėda“ – tokie ir panašūs komentarai paskatina ilgai nelaukiant „atnaujinti grotuvą“. Tačiau iš tikrųjų tai padaręs „Facebook“ vartotojas į savo kompiuterį parsisiunčia „Trojan.FakeAV.LVT“ virusą.
Jis nukopijuoja save kaip %windir%\services32.exe ir %windir%\update.X/svchost.exe, kur „update“ yra nematomas katalogas, o X – viruso versija, sakoma pranešime. Po to į registro %SYSTEM skiltį įrašomas registracijos raktas, ir Trojos virusas papildo autorizuotų programų, turinčių teisę veikti per ugniasienę, sąrašą.
Po to virusas blokuoja visus ugniasienės generuojamus pranešimus, antivirusinės programos atnaujinimų modulį ir galiausiai visas kompiuteryje rastas antivirusines programas. Kadangi virusas sugeba gerai imituoti populiariausias antivirusines programas ir net kitomis kalbomis pateiktas jų vartotojo sąsajas, jis vartotojui parodo neva antivirusinės programos sugeneruotą pranešimą apie aptiktą virusą ir prašo iškart perkrauti kompiuterį, kad galėtų jį pašalinti.
Tai padarius kompiuteris persikrauna į saugųjį įkrovos režimą. Tuo metu virusas išjungia tikrąją antivirusinę programą ir vėl perkrauna kompiuterį, tik šį kartą normaliu režimu. Po to neapsaugota sistema tampa atvira tolimesnėms atakoms: „Trojan.FakeAV.LVT“ integruotas parsisiuntimų komponentas pradeda siųstis žalingą programinę įrangą iš visos eilės įrašytų IP adresų. Pasak „Bitdefender atstovų, tai jau užkrėsti kompiuteriai, platinantys žalingą programinę įrangą ir turintys jos atnaujinimo per P2P tinklą funkciją.
