W celu zainfekowania trojanami systemu operacyjnego użytkownika, przestępcy tworzą specjalne fan page-e. Pojawiające się w nich linki, zamiast odsyłać do materiałów filmowych, uruchamiają szkodliwe skrypty. Obecnie na Facebooku działa już kilkaset różnych fan page-y o nazwach Videos Mega lub Mega Videos. Kiedy osoba odwiedzająca jedną z takich stron klika na złośliwy link ukryty pod obrazkiem Adobe Flash Player, uruchamia się skrypt, który w sposób niebudzący podejrzeń zachęca użytkownika do zaktualizowania tej wtyczki.
Jeżeli użytkownik zgodzi się na zainstalowanie aktualizacji, w tym samym momencie na jego komputer zostaną pobrane samorozpakowujące się pliki zawierające
Trojan.DownLoader8.5385
. Podobnie jak inne składniki pobrane przez złośliwe oprogramowanie, trojan zawiera wiarygodny podpis cyfrowy wydany w imieniu firmy Updates LTD, w związku z czym instalacja może nie uaktywnić alarmów bezpieczeństwa na komputerach niezabezpieczonych odpowiednim programem antywirusowym.
Trojan.DownLoader8.5385 jest typowym złośliwym programem pobierającym, którego zadaniem jest pobranie i uruchomienie innych szkodliwych plików na zainfekowanym komputerze. Program ten pobiera wtyczki dla przeglądarek internetowych Google Chrome i Mozilla Firefox. Wtyczki te zostały zaprojektowane do wysyłania zaproszeń do różnych grup na Facebooku i “polubienia” postów na portalu społecznościowym. Dodatkowo, złośliwe rozszerzenia mogą przyczynić się do:
- zbierania informacji na temat użytkowników Facebooka znajdujących się na “liście znajomych” posiadacza zainfekowanego systemu
- “polubienia” stron społecznościowych lub materiałów zewnętrznych
- dzielenia się albumem ze zdjęciami na danej stronie
- dołączenia do grup
- wysyłania zaproszeń “dołącz do grupy” do użytkowników z “listy znajomych”
- zamieszczania linków na wall’u użytkownika
- zmiany statusu użytkownika
- otwierania okienek czatu
- dołączenia do aktywności na Facebooku
- zapraszania użytkowników do aktywności
- postowania komentarzy
- odbierania i wysyłania sugestii
Plik konfiguracyjny wtyczki jest pobierany z serwera należącego do przestępców. Szkodliwe rozszerzenia są wykrywane przez oprogramowanie Dr. Web jako T
rojan.Facebook.310
.
Trojan.DownLoader8.5385
instaluje również na zainfekowanym systemie wirusa
BackDoor.IRC.Bot.2344
. Z kolei ten trojan może włączyć zainfekowane komputery do botnetu i wykonać różne komendy wysyłane przez specjalny kanał IRC stworzony przez przestępców.
Jedną z metod na usunięcie wymienionych wyżej trojanów jest skorzystanie z darmowego narzędzia Dr. Web CureIt!, dostępnego pod adresem www.freedrweb.com.
