mercoledì 16 marzo 2011

PUP.Dealio, nuovo virus si diffonde sulle bacheche e in chat Facebook


Una nuova pericolosa truffa si sta diffondendo su Facebook attraverso falsa applicazione che prometterebbe, a suo dire, la visualizzazione d'un presunto video dove una ragazza si suiciderebbe dopo che il padre ha letto un mesaggio postato sul suo profilo. La truffa viene diffusa attraverso dei link spam sulla bacheca e in chat degli utenti del social network e scarica virus. Il titolo del post è: "girl Ki11s herself after her father posts this message on his profile [LINK]".


Il link è camuffato attraverso un servizio di Url accorciati e se clicchiamo sul presunto video veniamo rimandati alla pagina della falsa applicazione


Se diamo il consenso all'applicazione, daremo l'accesso ai nostri dati quali nome, immagine del profilo, sesso, reti, iD utente, lista amici e chat. Si aprirà dunque una nuova pagina, che potra presentarsi così


o in quest'altro modo


In entrambi i casi ci verrà richiesto un controllo per verificare se siamo "umani". Se clicchiamo saremo riportati a delle pagine di vendita prodotti o abbonamenti a suonerie. Nel frattempo invieremo, inconsapevoli, il messaggio ai nostri amici in chat, la cui finestra di conversazione si aprirà senza nostra autorizzazione


Per bloccare l'applicazione cliccate su questo link. Effettuate immediatamente una scansione col programma Malwarebytes, la cui versione freeware è scaricabile collegandovi a questa pagina.


Si tratta del malware PUP.Dealio che infetta i seguenti processi in memoria:

c:\program files (x86)\application updater\applicationupdater.exe
c:\program files (x86)\common files\Spigot\search settings\searchsettings.exe

Inoltre infetta le seguenti chiavi di registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater
HKEY_CLASSES_ROOT\CLSID\{0BDA0769-FD72-49F4-9266-E1FB004F4D8F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0BDA0769-FD72-49F4-9266-E1FB004F4D8F}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0BDA0769-FD72-49F4-9266-E1FB004F4D8F}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0BDA0769-FD72-49F4-9266-E1FB004F4D8F}

Valori di registro infetti:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES (X86)\APPLICATION UPDATER\APPLICATIONUPDATER.EXE
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{0BDA0769-FD72-49F4-9266-E1FB004F4D8F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{0BDA0769-FD72-49F4-9266-E1FB004F4D8F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SearchSettings
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES (X86)\COMMON FILES\SPIGOT\SEARCH SETTINGS\SEARCHSETTINGS.EXE

File infetti:

c:\program files (x86)\application updater\applicationupdater.exe
c:\program files (x86)\iobit toolbar\IE\4.1\iobittoolbarie.dll
c:\program files (x86)\common files\Spigot\search settings\searchsettings.exe

Il consiglio è quello di non cliccare su link sospetti sia in bacheca e soprattutto a conversazioni in chat dove il vostro interlocutore non risponde in maniera logica e dove i link vengono diffusi in maniera diretta. Protezione Account si aspetta un'escalation di attacchi di questo genere con altre varianti.

Nessun commento:

Posta un commento