Злоумышленники прекратили распространять червь Koobfaceв в Facebook - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Злоумышленники прекратили распространять червь Koobfaceв в Facebook

Recommended Posts

AM_Bot

facebook-worm.pngАналитики компании FireEye в конце прошлой недели объявили, что их сенсоры более не фиксируют попыток заразить пользователей крупнейшей социальной сети вредоносными программами из этого семейства, причем взятая червем пауза продолжается уже более двух месяцев.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Заголовок же неправильный.

Правильный так:

Злоумышленники прекратили распространять червь Koobface в Facebook.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Спасибо, скоректировали, так правильнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Исследователи пока не знают, с чем связать это явление. Есть лишь предположение, что активность червя стала слишком заметной, и операторы ботнета решили немного отдвинуться в тень, дабы не привлекать к себе слишком уж много внимания "светлой стороны".

А кто угадает, что это за "светлая сторона"? Ибо

Возможно, это и правда так - ведь в прошлом году руководитель антивирусного подразделения Facebook Ник Белогорский уже заявлял, что руководству социальной сети известны имена создателей Koobface.

Ибо

Исследователи пока не знают, с чем связать это явление.

но при этом

руководству социальной сети известны имена создателей

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ole44

Ну Facebook это не паханое поле для " плохих " ребят.Не одно , так другое.

Недавно в социальной сети появилось поддельное приложение, собирающее входные данные пользователей Facebook, согласно исследователям Symantec.

Пользователи, привлеченные видео под названием "Неожиданное торнадо во время игры в футбол" или "Видео: Лучшая первоапрельская шутка!", кликают на сообщение, провоцируя тем самым начало автоматической загрузки скрипта, который выбрасывает их из Facebook, а затем отображает сообщение об ошибке и приглашает снова войти в систему, чтобы продолжить:

login-harvest-fb-app.jpg

Клик по кнопке способствует появлению формы регистрации, которая выглядит вполне подлинно.

"Когда пользователь вводит входные данные и кликает по кнопке «войти», поддельное приложение отправляет два POST-запроса: один на Facebook.com, а другой на вредоносный сервер", - объясняет исследователь.

Приложение также автоматически публикует такое же сообщение, которое привлекло пользователя, в его профайле, чтобы его "друзья" увидели данное сообщение и, вероятно, тоже попались на эту удочку.

http://www.symantec.com/connect/blogs/anot...-your-passwords

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Есть цепочка запуска: Есть цепочка запуска по образу, полученному с отслеживанием версией 4.99.6 https://imgur.com/xSA79Bm    
    • PR55.RP55
      "Использование групповой политики для удаленной установки программного обеспечения..." Возможно есть смысл информировать Оператора, что такая политика существует.    
    • demkd
      ---------------------------------------------------------
       4.99.7
      ---------------------------------------------------------
       o В окно истории процессов добавлен новый фильтр.
         Активировать его можно в контекстном меню процесса с помощью пункта "Отобразить цепочку запуска процесса".
         В результате в списке останется лишь текущий процесс и все его предки вплоть до SYSTEM.
         Фильтр имеет средний приоритет, т.е. фильтр на родительский процесс имеет высший приоритет, затем идет
         этот фильтр, затем фильтр по строке происка. Отмена фильтров по ESC происходит в обратном порядке
         в соответствии с их приоритетом.
         (!) В истории процессов 64-х битных систем рекомендуется обращать внимание на запуск 32-х битного cmd.exe
         (!) часто это является признаком зловредной активности.

       o В лог добавлено предупреждение при обнаружении отладчика/блокировки запуска/монитора завершения приложения.
         В лог выводится исходное значение параметров Debugger и MonitorProcess.
         Таким образом сразу будет видно если известные файлы были использованы для блокировки запуска процессов
         или неявного запуска несистемных процессов.

       o Твики #35 обновлен, теперь он называется: "Очистить ключи IFEO и SilentProcessExit".
         Теперь в лог выводятся все удаленные параметры или имя ключа с ошибкой удаления параметра.

       o Изменено название статуса "Исключение" на "Defender_Исключение".

       o Изменен префикс названия объекта "WD_Exclusion:" на "WDE:".

       o Исключения дефендера теперь могут быть удалены лишь в ручном режиме.

       o Исправлена ошибка в парсере json.

       o Исправлена ошибка "...не найден в списке" при удалении некоторых исключений Defender-а скриптовой командой.
       
    • demkd
      причина сбоев в том что пользователь включает опасные флаги при запуске, в частности заморозку потоков или выгрузку DLL. да Работать с образом нужно в той локализации, с которой был сделан образ, иначе будут проблемы.
    • PR55.RP55
      + Нюанс... Есть образ втозапуска созданный в\на англицкой версии uVS И если отдать команду: Запретить запуск файла (по хешу) то получим: (!) Не удалось получить размер файла C:\USERS\USER\APPDATA\LOCAL\PROTECTBROWSER\PROTECTBROWSER.EXE так как в Инфо:  Size 812544 bytes Правда при чём тут размер файла ? https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=130161&action=download  
×