Haben Sie jemals Nachrichten von Ihren Facebook Freunden bekommen samt Hinweise oder Einladung, eine bestimmte Seite zu besuchen? Noch dazu in Verbindung mit einer neugierig machenden Nachricht wie „Hey watch this, so cool!“ („Hey, schau dir das an, ist echt cool!“)? Im Normalfall würden Sie nicht lange zögern und der Einladung folgen, vor allem wenn die Nachricht von einem wirklich guten und vertrauenswürdigen Freund kommt. Aber würden Sie jemals daran denken, dass die Nachricht von einem Eindringling, Spam oder auch Virus stammen könnte?
So geschehen gestern: Ein Bekannter von uns hat eine „surprise“, also Überraschung, von Facebook erhalten, aber dann sehr schnell erfahren müssen, dass sein Computer auf diesem Wege mit einem Trojaner infiziert wurde, der den Computer auch gleich eifrig als Spamversender nutzte.
Wie Sie sehen können, war die Webseite natürlich nicht die Originale von Facebook, sondern „hxxp://facebook-surprise-kjeg.tk/“. Durch Social Engineering Techniken versucht der Ersteller bewusst, die Seite wie das Original aussehen zu lassen – logisch, der Besucher soll ja das trügerische Gefühl der Sicherheit verspüren.
Wenn man nun mit der Maus über diese Seite geht, sieht man, dass sich dahinter ein Link auf die Datei „suprise.exe“ (hxxp://facebook-surprise-kjeg.tk/surprise.exe) verbirgt. Die Datei selber ist mit einem Icon versehen, das dem typischen Icon einer Bilddatei gleicht:
Einmal ausgeführt, wird nur ein „gift“ (Geschenk) Bild wie dieses angezeigt:
Aber natürlich ist das nicht alles, denn im Hintergrund infiziert ein Trojaner den Computer.
Gehen wir zurück zum Ursprung: Offensichtlich liegt dieser in einer Nachricht, die er auf seinem Facebook Konto erhalten hat. Diese Nachrichten sehen so aus: „I got u surprise www.nyhelyofedoerej.blogspot.com.“
Wenn der Link angeklickt wird, führt dieser zu einem Blogspot Account, von dem aus wiederum auf hxxp://facebook-surprise-kjeg.tk/ weitergeleitet wird.
Nach Ausführung der Datei „surprise.exe“ werden alle Aktivitäten des Nutzers überwacht, indem der genutzte Browser, also beispielsweise der Internet Explorer oder Mozilla Firefox, infiltriert wird. Wenn sich das Opfer nun mit seinem Facebook Konto einloggen will, zeichnet die Malware Benutzername und Passwort auf. So kann jeder virtuelle Freund mit der altbekannten Nachricht zugespammt werden. Ein Blick auf den „Gesendet“ Ordner zeigt das Ergebnis.
Interessanterweise erzählt der Autor des Schädlings uns, was er hinter den Kulissen getan hat (oder hat er etwa vergessen, den Debug String zu entfernen?). Diese Nachricht erscheint, wenn der Debugger gestartet wird – wir erhalten das folgende Log, wenn die Malware versucht, sich in das Facebook Konto einzuloggen:
Und das folgende, wenn der Trojaner seine Nachricht an alle Freunde des Kontobesitzers versendet hat:
Direkt vor dem Spamversand wird noch ein sogenannter „GET request“ auf die Adresse „ddk1000.org/ab/setup.php?act=fb_get“ ausgeführt, um die für die Nachricht erforderlichen Daten wie Betreff, Text und die bösartige URL anzufordern.