תולעת חברתית (Koobface)

  
תולעת חדשה (ישנה) מסתובבת בפייסבוק.

לפני כשבוע קיבלתי הודעה בפייסבוק מחשבון של חבר: [זהירות- מי שמעוניין להכנס ללינק שיעשה זאת ביתר זהירות] 

ההודעה הזאת הייתה חשודה, אך במקרים מסויימים יכול להיות רלוונטית, הנקודות הן מצד אחד:
  • מדובר בחבר שלא הייתי איתו כמעט בקשר מאז הצבא.
  • תוכן ההודעה הוא לינק.
  • מספר רב של מכותבים להודעה.

ומנגד:
  • מדובר בקישור לאתר לגיטימי (Blogspot).
  • במקרים מסויימים, הודעה עם לינק למספר רב של מכותבים היא לגיטימית (פירסום של אתר חדש וכו')


אישית, מדובר בחבר שאין לו יותר מדי מושג במחשבים, ואני בספק אם הוא מכיר את Blogspot (או אתרים אחרים מפייסבוק?),
ובכלל- שישלח לי הודעה עם כותרת "Hey yo"... אין סיכוי.

בקיצור: הבחור נדבק בתולעת.
נכנסתי דרך Telnet לקישור- וכמובן, קיבלתי Redirection לאיזה אתר שגם הוא הפנה אותי לאחד אחר עד שלבסוף הגעתי
לעמוד הנ"ל: [זהירות- מי שמעוניין להכנס ללינק שיעשה זאת ביתר זהירות]
  

נו כמובן, מה מוכר יותר מ-סקס... עמוד Youtube (או יותר נכון- YuoTube, אני מאמין שזאת טעות של מפיץ התולעת) אז...
סגרתי את האנטי-וירוס, הורדתי את העדכון (קובץ EXE בשם setup289367.exe) ושלחתי אותו ל-VirusTotal, התוצאות
הן:
  

 
כשקיבלתי את ההודעה הראשונה הייתי באיטליה, אז רק יצרתי קשר עם הבחור והסברתי לו איך להסיר את התולעת, אבל לא
היה לי יותר מדי זמן לשחק איתה, בנוסף, קצת מבאס שבסופו של דבר מדובר שוב ב-Koobface ולא באיזה תולעת חדשה
שצצה לה פתאום.. מוריד את החשק מלהריץ אותה על מכונה וירטואלית ולהתחיל לחקור ולראות מה היא עושה...

ואז.. היום בבוקר קיבלתי עוד הודעה, מחר אחר (גם מהצבא- ככה שאני מאמין שהוא כנראה נדבק מהשרשרת), תוכן ההודעה
היה הפעם לינק בתוך facebook, שימו לב: [זהירות- מי שמעוניין להכנס ללינק שיעשה זאת ביתר זהירות]
  

מי שמספיק חכם יכול לנחש עוד לפני הכניסה ללינק שמדובר בניצול של Open Redirection במערכת של פייסבוק.. ושוב, מי
שנכנס בטוח שהוא יגיע לעמוד של פייסבוק- אבל בסופו של דבר יגיע לאותו עמוד "YuoTube (הטעות במקור) מסוכן.

כותבי התולעת שידרגו את מנגנון ה"עוקץ" בכך שהם דורשים פחות אינטרקציה של המשתמש (במקרה השני צריך ללחוץ על
לינק אחד שמפנה לפייסבוק, ובראשון צריך ללחוץ על שני לינקים שאחד מהם מפנה לעמוד רלוונטי, אך מחוץ לפייסבוק).


והשאלה שלי היא: יותר משבוע התולעת הזאת (ספציפית, Koobface משתוללת כבר מעל שנתיים) משתוללת בפייסבוק!
איפה כל מנגנוני ה-SafeBrowsing שבדרך כלל צדים את העמודים האלה תוך יומיים שלושה?





ועכשיו לתולעת עצמה:
שם התולעת הוא "Koobface" (מעין שיחלוף של facebook") תולעת שמסתובבת בפייסבוק כבר מתחילת 2008.
לתולעת יש מספר וריאציות:
Net-Worm.Win32.Koobface.a - תוקפת את MySpace
Net-Worm.Win32.Koobface.b - תוקפת את Facebook.
WORM_KOOBFACE.DC - תוקפת את Twitter.
W32/Koobfa-Gen - (זאת התולעת במקרה שלנו) תוקפת את Facebook, MySpace, hi5, Bebo, Friendster,
myYearbook, Tagged, Netlog, Badoo and fubar.
[תודה לויקיפדיה
 
ממש תולעת חברתית..
 
וקטור ההפצה של התולעת הוא: 
 
התולעת נשלחת כהודעה פרטית לחשבון הרשת החברית (במקרה שלנו- פייסבוק), במידה והמשתמש מתקין את העדכון
של נגן הפלאש- התולעת פורסת את עצמה על העמדה, משיגה את פרטי ההתחברות של המשתמש לאותם רשתות חברתיות
(KeyLogging, Local Packet Sniffing, Cookies Stealling - או כל דרך שכותב התולעת מימש), אוספת את הסיסמאות
באיזה Drop Zone נגיש למפיץ התולעת, מתחברת לחשבון המשתמש ושולחת ממנו הודעות לכלל החברים שלו
עם לינק לתולעת. מי שנדבק- מוריד את התולעת וחוזר חלילה... התולעת אינה משנה את פרטי החשבון של המשתמש.
 
מטרתה:
התולעת עצמה "רק" אוספת את פרטי ההזהות של חשבונות המשתמשים באותן רשתות חברתיות, ואינה מבצעת נזק ממשי,
אך היא מהווה את מנגנון התפוצה של חוליע אחרים שרוכבים על גביה- ומתפקדת כ-Drooper של שלל בוטנטים אחרים, כל
מחשב שנדבק- מוריד ופורס במחשבו בוטנט (התפוצה הרחבה ביותר נצפתה אצל Zbot), והופך את העמדה לזומבי.
 
מדובר בתולעת בת שנה, כך שמי שנדבק- כנראה שאינו משתמש באנטי וירוס מעודכן/אני משתמש באנטי וירוס בכלל, כך
שמומלץ להתקין/לעדכן את האנטי-וירוס ולהריץ סריקה. או כמובן, למי שיש את הידע- להסיר ידנית.
 
 
שלחתי חתימה של התולעת למספר חברות אנטי-וירוס שלפי VirusTotal לא הצליחו בזיהוי התולעת, בנוסף דיווחתי על הדומיין
למנגנוני ה-SafeBrowsing, נראה תוך כמה זמן הם יעדכנו.


תגובות על 'תולעת חברתית (Koobface)':



#1 

cp77fk4r:
פירוט תוצאות הפריסה של התולעת:
http://din.gy/8EUne

29.09.2010 20:32:23

#2 

ים מסיקה (אורח):
תענוג לקרוא פה כל פעם מחדש (:
תודה על העדכון.
29.09.2010 21:37:00

#3 

Dw4rf (אורח):
כרגיל- מעניין בטירוף! אשתדל להיזהר, תודה רבה!
29.09.2010 22:15:38

#4 

iTK98se (אורח):
לא מזמן נתקלתי ב-Clickjacking שהוטמע בתוך
דף פירסום. יותר מדי דפים סוררים יש בפייס...

http://blog.itk98.net/?p=43
29.09.2010 22:25:43

#5 

cp77fk4r:
קראתי (והגבתי) - מעניין תודה.
Yam Mesicka כתב משהו דומה בבלוג שלו:
http://din.gy/BSdk5

כנראה שזאת מגמה..
29.09.2010 23:06:58

#6 

Oink (אורח):
נתקלתי בתולעת הזאת בעבר ולדעתי גם בעמוד הזה ספציפית. יש סיכוי שהם משחזרים את העמודים האלה?
30.09.2010 02:28:49

#7 

cp77fk4r:
כן, מדובר בעמוד שמאוד מאפיין את התולעת- אותו עיצוב ואותו וקטור תקיפה, יכול להיות שהתוכן שם משתנה (כגון תגובות, נושא הסרטון וכו׳) אבל תמיד (עד עכשיו) ה-Koobface היה מפנה לעמוד Youtube.
30.09.2010 10:48:06

#8 

שמיל (אורח):
הסבר יוצא מהכלל, הייתי שמח לראות גם ניתוח טכני של הרושעה, אבל הפוסט בהחלט מצוין!
30.09.2010 14:55:14

#9 

cp77fk4r:
היי שמיל, תודה.
כמו שכתבתי- זאת תולעת שכבר נותחה ולכן לא ראיתי צורך לנתח אותה שוב. סתם לעשות עבודה שרבים וטובים עשו לפני.. :)
30.09.2010 18:26:34

#10 

sdimant:
תודה רבה סיפי!
אגב, לא הבנתי משהו: "מדובר בתולעת בת שנה, כך שמי שנדבק- כנראה שאינו משתמש באנטי וירוס מעודכן/אני משתמש באנטי וירוס בכלל" (אגב, כתוב שם 'אני' לדעתי צריך להיות כתוב 'אינו')
בסריקה ששלחת לVirusTotal פחות מ50% מהאנטי וירוסים זיהו אותו בתור וירוס! אז גם אם יש אנטי וירוס מעודכן לא בהכרח שיגלו את הוירוס.
30.09.2010 19:06:16

#11 

Dw4rf (אורח):
לדעתי הוא התכוון למה שאתה חושב ופשוט עדיף להשתמש באנטי וירוס מומלץ ולא סתם משה לא מוכר...
30.09.2010 19:27:07

#12 

cp77fk4r:
אני מאמין שתוכנות האנטי וירוס הסטנדרטיות מגלות אותה, חוץ מ-Avast 5 שבאמת פיקששה כאן אפשר לראות שרובן גילו אותה. וכן, עדיף להשתמש בתוכנות אנטי וירוס מוכרות ומעודכנות...
30.09.2010 20:08:59

#13 

sdimant:
OK, ב'נתי!
30.09.2010 21:20:49

#14 

iTK98se (אורח):
ואו... ואני משתמש ב-Avast5. אז מה, להחליף אנטיוירוס?
01.10.2010 11:10:42

#15 

cp77fk4r:
גם אני משתמש בו, ובאמת הפתיע אותי שהוא לא זיהה את הוירוס- אישית, לא ממליץ להחליף :)
01.10.2010 11:38:02

#16 

cp77fk4r:
http://threatpost.com/en_us/cvO

01.10.2010 20:51:59

#17 

cp77fk4r:
הזוי, העמוד הזה עדיין פעיל! החבר'ה בגוגל ישנים בעמידה!
04.10.2010 15:31:27

#18 

שמיל (אורח):
מעניין, האתר עדיין באויר, אבל התולעת נמחקה ממנו, הקישור בכתובת שאליו מפנה הקוד:
libermann.phpnet.org/mlspxbzb/setup757978.exe - מחזיר 404!
05.10.2010 14:53:58

#19 

cp77fk4r:
כן ראיתי, מעניין. תודה.
05.10.2010 19:53:25

#20 

cp77fk4r:
העמוד עדיין לא נכנס לרשימה ב-Safebrowsing והבינארי חזר...
06.10.2010 15:08:16

#21 

שמיל (אורח):
הוא שוב מחזיר 404, לדעתי מדובר בנסיון לצאת כל פעם מה-Safebrowsing, בכל פעם שהם מגלים את העמוד ואת הקוד/קובץ הזדוני- הם מסירים את הקובץ ומבקשים לצאת מהרשימות. לפי מה שאני יודע, ברגע שנשלחת בקשת "שחרור" מורץ כלי אוטומטי עם איזה קראולר שבודק את הקוד- במידה והוא לא מוצא משהו חשוד- הוא משחרר אוטומטית את האתר. יכול להיות שזה זה.
07.10.2010 11:03:49

#22 

Hero (אורח):
הוא עדיין שם (:
07.10.2010 14:02:37

#23 

An7i:
אפ אחלה פוסט, תגיד לי, אפשר לבדוק היכן ה
drop zone של התולעת?
08.10.2010 16:06:22

#24 

cp77fk4r:
בלי שום בעיה- תרים מכונה וירטואלית תריץ את התולעת, תריץ WireShark ותתחיל לנתח את הסטרים.
08.10.2010 16:22:44

#25 

cp77fk4r:
או, שאם אני אספיק- תחכה למאמר באחד הגליונות הקרובים (אולי אפילו הקרוב) בנושא.
08.10.2010 17:39:13

#26 

שלומי (אורח):
איזה כיף לקרוא את הפוסטים שלך :]
תודה רבה על המידע, אהבתי את הרידירקט מפייסבוק.
08.10.2010 20:59:36

#27 

cp77fk4r:
תודה רבה שלומי, נחמד לדעת.
עדכון: לאחר כתיבת הפוסט שלחתי את הבינארי לחבר'ה מ-Avast ובאחד העדכונים האחרונים הם כללו חתימה לוירוסים, החתימה גנרית וזמנית- ולאחר חקירה מלאה שלהם אני מאמין שהם ישחררו חתימה מדוייקת יותר.
09.10.2010 00:23:12

#28 

cp77fk4r:
An7i- ביצעתי ניתוח מלא לתולעת, איתרתי את ה-DropZone, השגתי גישה אליו, הורדתי את הנתונים משם ודווחתי לבעל השרתים על הפעילות, עוד לא קיבלתי תשובה אבל אני מאמין שהוא יסגר בקרוב. אני מאמין שיהיה פה פוסט קצר בנושא ובגליון הקרוב- מאמר שלם על הסיפור.
10.10.2010 00:19:41

#29 

sdimant:
סליחה על הבורות, מה זה DropZone?
10.10.2010 01:17:31

#30 

שמיל (אורח):
Google it!
10.10.2010 07:24:37

#31 

cp77fk4r:
Sdimant- מדובר בשרת שאליו התולעת מעלה את כל המידע שהיא אוספת, אם זה מספרי אשראי, אם זה סיסמאות ואם זה מידע אישי אחר שנמצא ונגנב מהמחשבים שנדבקו. ואני ממליץ לך בחום לקחת את העצה ששמיל נתן לך :)
10.10.2010 08:04:04

#32 

sdimant:
שמיל-צודק! טעות שלי :-)
10.10.2010 08:25:28

#33 

שמיל (אורח):
יש חדש עם הניתוח?
14.10.2010 12:57:23

#34 

cp77fk4r:
יאפ', סיימתי כבר לכתוב את המאמר על המחקר, נשלח למספר גורמים בכדי לקבל חוות דעת, הוא יתפרסם בגליון הקרוב!
14.10.2010 23:02:51

#35 

Hero (אורח):
מזל טוב !
14.10.2010 23:10:38

#36 

An7i (אורח):
cp ביצעתי ניתוח ממש בסיסי לתולעת ברמת החווית לקוח נקרא לזה ככה חח
ניתן לראות את הניתוח בפורם של גיא מזרחי
תחת פורום כובע שחור.
פירסמתי כבר הודעה אחת פה אבל כנראה שלא עלתה עקב קישור בפנים לכתבה.
מחכה לניתוח שלך.
15.10.2010 03:12:23

#37 

cp77fk4r:
אנחנו לא מונעים או מאשרים הודעות, כל מה שנשלח מתפרסם, כנראה שלא עברת את הקאפצ׳ה.
15.10.2010 04:37:01

#38 

An7i (אורח):
סבבה אז - לעצלנים -
http://bit.ly/avB3IP

15.10.2010 10:30:21

#39 

cp77fk4r:
קראתי, נסיון יפה! חסר המון מידע אבל כל הכבוד על הנסיון, אני לא ארחיב יותר מדי, רק אגיד שאני ממליץ לך לחכות לניתוח של התולעת שיופיע בגליון הקרוב :)
15.10.2010 12:06:52

#40 

(אורח):
חחחחח ברור שחסר במון מידע, זה הניתוח הראשון שלי
על אף שאין לי נגיעה בתחום re
אבל תמיד כיף לנסות
15.10.2010 13:33:12

#41 

cp77fk4r:
אחלה. אז אני מאמין שתחכים מהמאמר :)
15.10.2010 14:28:49

#42 

שמיל (אורח):
נשמע כמו מאמר מבטיח! נושא מעניין מאוד בחרת!
15.10.2010 15:24:27

#43 

שמיל (אורח):
An7i - נכנסתי ללניק שנתת, אני לא יודע עד כמה אפשר לקרוא למה שכתבת שם "ניתוח".
15.10.2010 16:16:17

#44 

An7i (אורח):
אולי כי זה לא באמת ניתוח??, דההה
סתם משהו שיטחי שעשיתי בשביל הכיף..
לדעת מה התולעת הזו עושה בשקט מאחורי הקלעים
בלי להיכנס לרמת הסיסטם.
בכל מקרה קצת סבלנות ואפיק ישחרר יום רביעי משהו מעניין
16.10.2010 21:42:14

#45 

שמיל (אורח):
שיהיה.
16.10.2010 22:35:19

#46 

cp77fk4r:
יום רביעי? אתה מתכוון ראשון עוד שבועיים ;)
16.10.2010 23:07:01

#47 

Hero (אורח):
An7i - לא אתה רוצה שהגליון כבר יצא [;
16.10.2010 23:28:50

#48 

An7i (אורח):
ראשון עוד שבועיים???
זה לא אמור להשתחרר כל יום רביעי :\ ???
17.10.2010 06:59:59

#49 

sdimant:
LOL אנטי אתה רציני? הגליון יוצא בסוף כל חודש
17.10.2010 07:43:38

#50 

cp77fk4r:
לא שמעת את זה ממני, אבל אם הקהילה המקומית הייתה רצינית יותר היינו באמת יכולים להוציא גליון שבועי, עם רמת הרצינות הנוכחית אנחנו בקושי מסתדרים עם גליון חודשי...
17.10.2010 08:24:00

#51 

Hero (אורח):
לא רק אתה*
cP - יש בעייה בכתיבת מאמרים עדיין?חשבתי שרמת המודעות העלתה...
17.10.2010 16:57:08

#52 

cp77fk4r:
רמת המודעות עלתה, איך לא. אך רמת הרצון לעזור ולקדם די סטטית :) יש הרבה חבר'ה טובים שמעוניינים לעזור- ועוזרים, אבל עדיין, המשימה לא פשוטה, במידה וההיענות הייתה גבוהה יותר היינו יכולים להתקדם ולקדם יותר את הקהילה.
17.10.2010 17:33:09

#53 

Hero (אורח):
אני חושב שעדיף שזה ככה.כלומר שזה חודשי ולא שבועי.לדברים טובים לוקח זמן להגיע [;
18.10.2010 00:04:45

#54 

sdimant:
הירו- צודק. אבל ממה שאני מבין מהתגובה של סיפי, גם חודשי בקושי מצליחים להוציא (ויוכיח הגליון האחרון שהיו בו "רק" ארבעה מאמרים).
18.10.2010 00:10:23

#55 

שמיל (אורח):
Sdimant- ״רק״ ארבעה מאמרים- אני רוצה לראות אותך מוציא מאמר אחד פעם בחודש. אשכרה סיפי והחבר׳ה האלה מצליחים להחזיק מעמד כבר מעל שנה. ברור לי שלא כתבת את התגובה הזאת בצורה רעה, אבל זה שהרגילו אותנו לכמות
מסויימת של מאמרים וחודש מסויים יש פחות- ותאמין לי שיש להם את הסיבות שלהם, זה לא ״רק״.

יש מגזינים שיוצאים פעם בשנה, כמו פראק, אבל מדובר בקהילה העולמית ובמגזין בסדר גודל הרבה יותר גדול וותיק. 
18.10.2010 01:56:40

#56 

cp77fk4r:
התזמון שלנו קשור אך ורק לכח אדם שיש לנו, אם היה לי כח אדם מספיק הייתי מוציא גליון שבועי. אנחנו לא מרוויחים מזה כסף ולא משלמים לכותבים כלום, הכל מהתנדבות, אם תיהיה יותר התנדבות נוכל להתקדם קדימה, אם לא תהיה בכלל- נסגור את הבסטה. 
18.10.2010 02:11:22

#57 

sdimant:
שמיל- ברור שלא כתבתי את זה בצורה רעה (וגם לכן שמתי את ה"רק" במרכאות).
פשוט, הירו אמר שעדיף שהגליון יהיה חודשי (כמו עכשיו), ואני אמרתי לו שגם חודשי לא בטוח שיצא בגלל שכמות הכותבים יורדת. (וכמובן שאני לא בא בתלונות לאף אחד, והלוואי שהייתי ברמה לכתוב מאמרים כאלה).
18.10.2010 09:47:13

#58 

Hero (אורח):
אני פשוט רציתי להבהיר נקודה שלא צריך לשאוף לגליון שבועי.אבל בהחלט כל מה שנאמר כאן נכון.ולכן אני פונה לכל אחד שיכול לתרום - שיתרום !
18.10.2010 15:11:02

#59 

Dw4rf (אורח):
אגב, לפי מה שאני שם לב, מכל "הבלוגים" הישראלים (כמו כאן, גיא מזרחי, ים מסיקה, בינארי ויז'ן, ניוזגיק - אבטחת מידע, וכו' וכו') זה הבלוג הפעיל ביותר מבחינת תגובות, אני לא יודע מה הם נתוני הכניסה אבל אני יודע שכאן יש הכי הרבה תגובות בממוצע על פוסט. זה לא שאין זרימה- הזרימה קיימת, פשוט לא הרבה מוכנים/יכולים לכתוב מאמרים על הנושאים בהם עוסק הגליון.
18.10.2010 18:31:50

#60 

Hero (אורח):
Dw4rf - אני הייתי כותב מאמר או משהו הבעיה שאין לי ממש מה לחדש לקהילה שאין בעברית כל כך ... לכן פניתי למי שיכול לעשות כן.
19.10.2010 17:54:23

#61 

An7i (אורח):
Dw4rf - זה אכן כמו שאמרתי לעיל
הדבר הרציני הגדול ביותר והטוב ביותר שנעשה
מבחינת הסצינה בשנים האחרונות אם בכלל....

ולכן אני חושב שצריך להרתם לפרוייקט הזה עוד.
ומי שיכול שיכתוב, אני כבר באתי בשתי הצעות
אבל הם לא התאימו מבחינת הרמה לגיליון
היות ומחפשים דברים בראנד ניו...
20.10.2010 23:52:22

#62 

נוגה (אורח):
שלום, שלחו לי מפייסבוק הודעה על הרוגלה הזאת עם קישור לדף פייסבוק שאמור להסיר אותה. השאלה אם זה לא עוד תרגיל עוקץ, מישהו יודע? תודה!
21.10.2010 00:42:12

#63 

sdimant:
תרשמי פה את הקישור לדף
21.10.2010 08:54:07

#64 

cp77fk4r:
א'- בהחלט, תפרסמי פה את הקישור לעמוד כך נוכל לקבוע את אופיו.

ב'- האם הרצת את התולעת?
21.10.2010 10:08:15

#65 

cp77fk4r:
משהו מעניין: חיפשתי בגוגל בקשר לסיפור של המשתמש נגה, מצאתי את הקישור הבא:
hXXp://www.maroms.com/mtn/?p=3

האתר נראה תמים יחסית, ומציע שני כלים, אחד להסיר את ה-Koobface ואחד להסיר את Warezov, לפי בדיקה ב-VirusTotal מדובר בבוט-נט בשם W32/Fujack.U.

תוצאות סריקה של הקובץ ב-VirusTotal:
http://din.gy/6KTqe
21.10.2010 10:26:47

#66 

נוגה (אורח):
אני לא כל-כך מבינה מה זה "להריץ את התולעת" אבל הנה מה שפייסבוק הציעו לי:
To restore your account, please log into Facebook and follow the instructions you see there. You can also learn more in our Help Center at:
http://www.facebook.com/help/?topic=koobface
21.10.2010 12:44:08

#67 

cp77fk4r:
היי נגה, שימי לב שמדובר בקישור מתוך פייסבוק- כך שאת יכולה לבטוח בו, אם תכנסי לקישור שנתתי קודם תוכלי לראות דוגמא לקישור שאת לא יכולה לסמוך עליו :)

בקשר למה שכתוב שם- אולי תתפלאי, אבל מה שהם מציעים (לשנות את הסיסמה של החשבון שלך) לא יעזור לך, מפני שאם יש לך את התולעת על המחשב, במידה ותתחברי לפייסבוק- היא תנצל זאת שוב.

בקשר ל"להריץ את התולעת" - התולעת הזאת נכנסת למחשב שלך לאחר שאת מתקינה "עדכון" בכדי לצפות באיזשהו סרט שהופנת אליו בהודעה פרטית דרך אחד מחבריך ברשת החברתית. - במידה והתקנת את העדכון, נדבקת בתולעת וכנראה שגם מהחשבון שלך נשלחים הודעות כאלה. במקרה כזה, מה שאני ממליץ לך זה להוריד את האנטי וירוס הבא: http://din.gy/uAt2g - קוראים לו Avast, הוא בחינם, והוא מומלץ.

תתקיני אותו על המחשב שלך, תבצעי עדכונים (Updates) למאגר החתימות ותבצעי סריקה מלאה על המחשב שלך.

לאחר מכן, תחזרי לכאן ותכתבי לי אם הוא מצא משהו חשוד והאם הוא הצליח להסיר אותו.

בהצלחה.
21.10.2010 13:00:36

#68 

cp77fk4r:
דבר נוסף- אם את ההודעה "To restore your account, please log into Facebook and follow the instructions you see there. You can also learn more in our Help Center at" - קיבלת במייל, ויש שם לינק ל-Facebook, כשאת מקישה את שם המשתמש והסיסמה שלך בכדי להכנס לחשבון - תוודאי שאכן הקישור מפנה ל-Facebook ולא לאחר פישינג שמנסה לגנוב לך את שם המשתמש והסיסמה.
21.10.2010 13:10:23

#69 

נוגה (אורח):
תודה לכולם על העזרה,
עוד לא ניסיתי להתקין את אווסט אבל בינתיים אף תוכנה אחרת לא מצאה כלום, גם לא סריקה של מקפי שמציעים בפייסבוק עצמו.
יש לי חשד שקיבלתי הודעת שווא מפייסבוק כי בעצם לא קיבלתי שום הודעה ממישהו חשוד עם קישור לוידאו, אבל כן שלחתי (ברצון ובידיעה) הודעה לנמענים רבים עם קישור להורדת קבצי וידאו "נקיים" שאני עצמי העליתי לאתר ההורדות mediafire (בדקתי והקישור ששלחתי מפנה לקבצים שהעליתי ולא למשהו חשוד). יכול להיות שהפייסבוק חושד אוטומטית בכל מי ששולח קישור וידאו להרבה נמענים?
21.10.2010 15:27:45

#70 

cp77fk4r:
יכול להיות, וזה נתון מעניין.

בכל אופן- את תמיד יכולה לעשות את הבדיקה הבאה:
תתחברי לפייסבוק, תסמני את "זכור אותי להתחברויות הבאות" (או מה שהם לא כותבים שם), תכבי את המחשב, תדליקי אותו ותתקשרי לחברה שלך בכדי לבדוק האם נשלח לה מהחשבון שלך בפייסבוק איזה קישור. במידה וכן- תורידי Avast ותתקיני, במידה ולא- תורידי Avast ותתקיני. :)
21.10.2010 18:14:55

#71 

cp77fk4r:
עוד דבר:
חקרתי את הקובץ שהחבר'ה מהאתר החשוד ההוא מפיצים וככל הנראה הוא לא קובץ זדוני. הקובץ הנ"ל פורס קובץ A.Bat שסוגר חלק מהתהליכים של ה-Windows ובהחלט מחפש במקומות זהים שהתולעת נכנסת לשם. עוד לא השלמתי את הניתוח ככה שאני לא יכול להגיד בוודאות שמדובר ב-False Positive של VirusTotal, ועדיין אני לא ממליץ לקחת את הסיכון. כמו כן, גם במידה והקובץ הזה לא ימצא כזדוני- לפי איך שזה נראה הוא מנסה לאתר גרסה ישנה יחסית של Koobface ולא את הגרסה שמופצת כיום.
21.10.2010 19:14:31

#72 

נוגה (אורח):
בדקתי ולא נשלח אף קישור. בינתיים כבר החלפתי את הסיסמה והפייסבוק מתנתק לי כל הזמן אבל כנראה שאין תולעת. תודה לכולם על העזרה.
21.10.2010 23:37:35

#73 

cp77fk4r:
אחלה. יצאת בזול הפעם ;) אני ממליץ לך בכל זאת להתקין את Avast. לעתיד. אם התולעת הזאת מעניינת אותך, אני ממליץ לך לחכות לגליון הקרוב, ביצעתי ניתוח די מקיף עליה והוא יפורסם בו.
22.10.2010 03:38:29

#74 

SyStEm-A:
1. CP, אם הייתי ברמת היכולת לכתוב משהו על אבטחת מידע, הייתי מוכן להקדיש כמה שעות כדי לכתוב מאמר ולתרום כאן אלא אם אתה רואה צורה אחרת בה אני יכול לתרום.. אז בכיף.

2. אחלה מאמר, חידשת לי, אגב כשרשמת למעלה "תוקף" את פייסבוק מייספייס וכ'ו .. מה זה עושה בפועל? שולח פרטים שלי לdropzone לטובת מה? מי יצר אותה ולטובת איזה אינטרס?
[סורי אבל לא בדיוק הבנתי]

3. מחכה לניתוח בגיליון הבא :)
31.10.2010 04:22:46

#75 

שמיל (אורח):
לפי מה שהבנתי אמור להיות בגליון בקרוב (שאמור לצאת היום) מאמר בנושא עם ניתוח מלא- תחכה בסבלנות :)
31.10.2010 07:44:19

#76 

cp77fk4r:
לתולעת אין גישה לססמאות שלך אבל היא גונבת לך את הקוקיז, שומרת אותן בדרופ-זון ומשתמשת (באופן מקומי) בכדי לכתוב על הקיר של חברים שלך ולשלוח להם הודעות פרטיות.
31.10.2010 08:22:46

#77 

cp77fk4r:
Researchers Take Down Koobface Servers:
http://bit.ly/db2Uwx

15.11.2010 20:59:32

#78 

gdf (אורח):
gfd
16.11.2010 21:29:16

#79 

gdfgfd (אורח):
gfd
16.11.2010 21:29:39



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2014 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.