ashaam
زيزوومى فضى
غير متصل
الخبرالجديد من الشركة العملاقة
Emsisoft Anti-Malware
k:k:
k:k:تحذير : مفاجأة طروادة المتطفل على الفيس بوك
وأضاف الرسائل المتلقاة من أي وقت مضى من أصدقائك فيس بوك تحتوي على إشعار أو دعوة ، مثل دعوة لزيارة موقع معين ، مع رسالة مثيرة للاهتمام ، مثل "يا شاهد هذا ، باردة جدا!"؟ في معظم الحالات ، فإن المتلقي للرسالة نكون سعداء لمتابعته ، وخاصة إذا تم إرسال الرسالة من جانب واحد من أفضل الأصدقاء ، الذي تثق به. ومع ذلك ، هل فكرت أنه يمكن إرسالها من خلال متسلل ، والبريد المزعج ، أو حتى الفيروسات؟
مثل أمس ، تلقى واحد من أصدقائي "مفاجأة" من بوك ، ولكن سرعان ما أدركت أن كانت مصابة الآن جهاز الكمبيوتر الخاص به مع طروادة ، فضلا عن جعله "آلة غير مرغوب فيها."
كما ترون ، وكان الموقع لا أصل بوك ، ولكن "hxxp : / / بوك ، مفاجأة ، kjeg.tk /". من خلال تقنيات الهندسة الاجتماعية ، ويجعل الكاتب عمدا تبدو مثل موقع الاصل واحد ، بطبيعة الحال ، لإعطاء المستخدمين شعورا زائفا بالأمن.
وعندما تحوم الماوس في تلك الصفحة ، ويبدو أن ذلك هو الارتباط الذي يؤدي إلى "suprise.exe" ملف (hxxp : / / facebook-surprise-kjeg.tk/surprise.exe). الملف نفسه باستخدام الرمز الذي يشبه الرمز الافتراضي من ملف الصورة :
بمجرد أن يقوم المستخدم بتشغيل الملف ، فإنه سيتم عرض فقط "هدية" صورة من هذا القبيل :
ولكن ، دون أن يدركوا ذلك ، حصان طروادة يصيب أجهزة الكمبيوتر في الخلفية.
على ما يبدو ، كل ذلك يأتي من الرسالة التي تلقاها على حساب بوك له. وتبدو هذه الرسائل : "لقد حصلت يو
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
مفاجأة". عندما يتم النقر على الرابط ذلك سيؤدي الى حساب على بلوغسبوت ، ومن ثم يتم إعادة توجيه مرة أخرى إلى hxxp : / / بوك ، مفاجأة ، kjeg.tk /.
حالما يتم تنفيذ الملف "surprise.exe" ، فإنه سيتم رصد كل نشاط المستخدم ثم ، عن طريق حقن نفسه إلى المستعرض النشطة ، مثل إنترنت إكسبلورر أو موزيلا فايرفوكس. إذا كان المستخدم يحاول الدخول إلى حساب له بوك ، فإن البرمجيات الخبيثة تسجيل اسم المستخدم وكلمة المرور ، لاستخدامها في البريد الالكتروني غير المرغوب إلى كل صديق على حساب بوك. يمكن للمستخدمين معرفة ذلك من خلال النظر في المجلد "بعث".
ومن المثير للاهتمام ، والكاتب يقول لنا ما كان يقوم به وراء الكواليس (أو نسي لإزالة سلسلة التصحيح؟). سوف تظهر هذه الرسائل عندما نقوم بتشغيل المصحح ، أو لرصد DebugView إخراج التصحيح. ونحن الحصول على السجل التالي عندما الخبيثة تحاول الدخول إلى حساب بوك :
والتالية عند طروادة لم المزعج لجميع الاصدقاء في حساب بوك :
قبل القيام المزعج ، فإنه يؤدي إلى طلب إحضار عنوان "ddk1000.org/ab/setup.php؟ قانون fb_get =" للحصول على البيانات المستخدمة في الرسائل غير المرغوب فيها ، مثل الموضوع ، نص الرسالة ، وعنوان الموقع الخبيثة التي تستخدم لالمزعج.
للمتابعة
:q:
Excerpt from our
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
.Detection and removal
:d::d:
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
Emsisoft detects this malware as:Trojan-Downloader.Win32.FraudLoad
:y:
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
and :y:
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
will automatically block the trojan if you try to download and execute the infected file.Always stay alert and be cautious with everything you receive. And don’t forget to update your Emsisoft Anti-Malware manually if you don't use a full version with automatic updates.
Questions?
Ask us! Quick access and the best possible support are important to us. Even if you do not actually require help, you are more than welcome to ask us questions and be the first to get the latest news. The following platforms are available for this:
- Visit our
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي.
- Follow us on
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي.
- Become a fan on
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي.
Like yesterday, one of my friends received a “surprise” from Facebook, but then soon realized that his computer was now infected with the trojan, as well as making it a “spam machine.”
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
As you can see, the site was not the original of Facebook, but “hxxp://facebook-surprise-kjeg.tk/”. Through social engineering techniques, the author deliberately makes the site look like the original one, of course, to give users a false sense of security.
And when the mouse is hovering at that page, it would seem that it is a link that leads to the file “suprise.exe” (hxxp://facebook-surprise-kjeg.tk/surprise.exe). The file itself is using an icon that similar to the default icon of image file:
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
Once the user runs the file, it will only display a “gift” image like this:
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
But, without realizing it, a Trojan infecting the computers in the background.
Apparently, it all comes from a message that he received on his Facebook account. The messages look like this: “I got u surprise
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
When the link is clicked it will lead to an account on Blogspot, and then it is redirected again to hxxp://facebook-surprise-kjeg.tk/.
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
Once the file “surprise.exe” is executed, it will then monitor all user activity, by injecting itself to the active browser, such as Internet Explorer or Mozilla Firefox. If the user tries to login into his Facebook account, the malware will record the username and password, to be used to spamming to every friend on the Facebook account. Users can find out by looking at the folder “sent”.
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
Interestingly, the author tells us what he was doing behind the scenes (or he forgot to remove the debug string?). These messages will appear when we run the debugger, or DebugView to monitor debug output. We obtain the following log when the malware is trying to login into the facebook account:
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
And the following when the trojan did spam to all friends in the Facebook account:
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
Before doing spam, it performs the GET request to address “ddk1000.org/ab/setup.php?act=fb_get” to obtain data used for spam, such as subject, message body, and the malicious url that is used for spam. The data is a string like this:
<data>3000|140000|Hello|I got u surprise |My Dear Friend u should look for |I have surprise for u
[
www.milurudutyfebusab.blogspot.com]</data>
Following is the malicious site that we get from the data above (please don’t visit, some link are still active):[
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
www.milurudutyfebusab.blogspot.com]</data>
- hxxp://ebyqerapinylyrato.blogspot.com
- hxxp://udenaqylinabig.blogspot.com
- hxxp://kuopyqupisee.blogspot.com
- hxxp://sebafelumunynuly.blogspot.com
- hxxp://sypupolufoigirisyc.blogspot.com
- hxxp://ogyohanofaeqis.blogspot.com
- hxxp://juyeliadileqaq.blogspot.com
- hxxp://gyseuodysecu.blogspot.com
- hxxp://pucoriiukiylyfo.blogspot.com
- hxxp://yycugecuisehe.blogspot.com
- hxxp://nyhelyofedoerej.blogspot.com
- hxxp://teejoubiimanuh.blogspot.com
- hxxp://timeteobyqufousy.blogspot.com
- hxxp://ooapetyuqatoda.blogspot.com
- hxxp://okojylimukikap.blogspot.com
- hxxp://milurudutyfebusab.blogspot.com
المعذره أخواني بخصوص الترجمة من(( قوقل)) :d:
بالتوفيق للجميع
