Trojan Bredolab útočí na uživatele Facebooku

Posted by Jana Laňková on 02 Nov 2009 under Internet

Dnešní text bude velmi stručným upozorněním pro všechny uživatele Facebooku. Na internetové scéně se totiž objevil nový trojský kůň, který poměrně dosti mává virovou scénou. Bredolab může dle všeho vykrádat informace z počítače, mazat a napadat soubory nebo vyvolat skryté stažení a instalaci dalších nebezpečných programů.

Bredolab je totiž nový virus šířící se citlivou cestou – e-maily. V posledních měsících se objevilo několik způsobů, jak o sobě dává Bredolab vědět. Bohužel je TrojanDownloader.Bredolab.AA ve svém konání velmi úspěšný, protože počtem nakažených počítačů překonal i Conficker, který se stal velmi “populární”.

1. Fiktivní faktury

E-mailem přijde faktura v ZIP souboru. Po extrahování a otevření se zanesou stopy do PC (konkrértně se objeví nový proces v Po spuštění). Více o viru a jeho šíření metodou č. 1 se dozvíte v článcích na PC World: České uživatele začal napadat nový trojský kůň Bredolab a Eset: Pro české uživatele je největší hrozbou stále trojan Bredolab.

2. Reset hesla k učtu na sociální síti Facebook

Tento druhý způsob je novější, objevil se někdy kolem 27.10. Na e-mail Vám dorazí zpráva, která informuje o nutné změně hesla k Facebook účtu. V příloze se pak nachází opět ZIP soubor (název Facebook_Password_ea5f6.zip, přičemž poslední část před .zip je náhodně vygenerovaná). Dle textu v mailu se právě v něm nachází heslo. Extrahování ještě žádné problémy nezpůsobí, ale po spuštění EXE souboru s názvem isqsys32.exe se počítač nakazí. Objeví se naprosto prázdné okno, do Po spuštění se zanese záznam o spouštění isqsys32.exe po startu a spustí se procesy isqsys32.exe a svchost.exe. Tyto proces nejde ukončit ve Správci úloh, a tak není možné stažené soubory odstranit.

Text e-mailu:

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Thanks,
The Facebook Team

Odesílatel e-mail je uveden jako “The Facebook Team <service@facebook.com>” (jedná se o zdánlivě pravou adresu, ale je fiktivní), předmět mailu: “Facebook Password Reset Confirmation”.

Za podklady k článku děkuji mému otci, který mi poskytl veškerý popis dění. Jemu se povedlo náš PC nakazit. :) Trojský kůň je ale již zanesen do virových databází, například NOD32 jej detekoval a odstranil.

Kompletní informace včetně názvů inkriminovaných souborů, MD5 souboru v článku Bredolab masked as Facebook Password Reset Confirmation (anglicky) a obecný popis na PC World. Vlákno o Bredolabu se objevilo i na VIRY.CZ – Vir “Win32/TrojanDownloader.Bredolab.AA.Trojan” pomoc.

a@b.com

no je to peknej zmetek .. :( Avast ani Spybot si s nim neporadej :-//
Najja

Zkus ten NOD32, z toho je i ten výpis nahoře a našel dokonce více souborů, než o kterých se píše v tom anglickém článku.
Soudce Ti

Facebook je zlo ;-)
Najja

Někdy je fajn. :D
Jindřich "Masterbill" R.

Nenapadlo by mě otevírat přílohu emailu o reset heslo, to bych spíš čekal nějaký resetující odkaz... Ale jsou i tací, kteří to otevřou...
Najja

Najdou se tací. Klamavá je totiž ta odchozí adresa. A pak zvědavost zapracuje...
Laňka Jan

Jsem otec "Najji" a chtěl bych k tomu dodat. Příloha o resetu hesla je psána anglicky. Vzhledem k tomu , že neumím anglicky a věřil jsem , že jde o pravou adresu Facebook Teamu. Teprve potom jsem si v překladači, přeložil text, to proto , že se mi rapidně zpomalila činnost PC.
Český text: Protože opatření k zajištění bezpečnosti na našich klientů, vaše heslo bylo změněno.
Můžete si najít nové heslo v přiloženém dokumentu.

To mně bylo jasné, že heslo mi nemá kdo nabízet, to si určuji sám. Trochu zbrklosti a problém je tu.
A další moje hloupost: neměl jsem nainstalovaný žádný antivir. NOD32 našel tohle:

D:\Documents and Settings\Jan - Laňka\Local Settings\Temp\~TM16.tmp - Win32/TrojanDownloader.Bredolab.AA trojský kůň - vyléčen smazáním - uložen do karantény
D:\Documents and Settings\Jan - Laňka\Local Settings\Temp\~TM1C.tmp - Win32/TrojanDownloader.Bredolab.AA trojský kůň - vyléčen smazáním - uložen do karantény
D:\Documents and Settings\Jan - Laňka\Local Settings\Temp\~TM23.tmp - Win32/TrojanDownloader.Bredolab.AA trojský kůň - vyléčen smazáním - uložen do karantény
D:\Documents and Settings\Jan - Laňka\Local Settings\Temp\~TM29.tmp - Win32/TrojanDownloader.Bredolab.AA trojský kůň - vyléčen smazáním - uložen do karantény
D:\Documents and Settings\Jan - Laňka\Local Settings\Temp\~TM54EA3A.TMP - Win32/TrojanDownloader.Bredolab.AA trojský kůň - vyléčen smazáním - uložen do karantény
D:\Documents and Settings\Jan - Laňka\Local Settings\Temp\~TMC.tmp - Win32/TrojanDownloader.Bredolab.AA trojský kůň - vyléčen smazáním - uložen do karantény
D:\Documents and Settings\Jan - Laňka\Local Settings\Temporary Internet Files\Content.IE5\FW7M33ER\Facebook_Password_ea5f6[1].zip » ZIP » Facebook_Password_ea5f6.exe - Win32/TrojanDownloader.Bredolab.AA trojský kůň - byl součástí smazaného objektu
D:\Documents and Settings\Jan - Laňka\Nabídka Start\Programy\Po spuštění\isqsys32.exe - Win32/TrojanDownloader.Bredolab.AA trojský kůň - vyléčen smazáním - uložen do karantény
D:\WINDOWS\system32\wbem\proquota.exe - Win32/TrojanDownloader.Bredolab.AA trojský kůň - vyléčen smazáním - uložen do karantény

Bohužel mimo jednoho souboru dokázal smazat všechny a ten jeden soubor nešel smazat, psalo mi to , že nemám oprávnění. Smazal jsem jej z jiného disku po načtení jiného operačního systému. Pak se tento zprvu nesmazatelný soubor jevil jako kterýkoliv datový soubor a jednoduše šel smazat. A bylo po problému.
Najja

Tati díky moc, ten výpis se bude hodit. Je vidět, že všechno špatné je k něčemu dobré, snad to pomůže více lidem. Mám především obavy o ty, kteří o virech na Facebooku nemají ponětí (když se podívám na své kamarádky a kamarády v reálném životě, 90% z nich je zralých na to, aby se nakazilo. Proto jsme to poslala i na Facebook, jak jsi doporučoval a docela dost lidí mi přislíbilo, že si na to dá pozor, tak uvidíme. :-)

Díky
mibrt

Díky za upozornění :)
Najja

Není zač. :)