IRC botu sosyal network kullanıcılarını IM aracılığıyla çekiyor (07 Ekim 2009)

Instant messaging aracılığıyla gelen kötücül yazılımlar yeni değil (IM solucanları), fakat sosyal ağ sitelerinin popüleritesini artıran saldırılar son dönemde başladı. MSN aracılığıyla yayılan ve son günlerde etkin şekilde sosyal ağ sitelerinin popüleritisinii ve instant messaging istemcilerinin kullanımını artıran yeni bir link inceledim. Mesajda “Hey, is this you?? haha :P http://facebook-photo<removed>/viewimage.php?<contactname>” yazıyor. Bağlantının son kısmı olan parametre aktarılıyor ve alıcının kullanıcı adını içeren viewimage php scripti tarafından kullanılıyor.

Linke tıklandığında facebook-photo domaini kullanıcıyı HTTP 302 aracılığıyla php scriptinin yer aldığı başka bir domaine yönlendiriyor. Script, ekinde “JPG.EXE” ile executable’ı indirmeye başlıyor. Yöntem kolay: facebook-photo domain’i yeni register ediliyor ve php ve executable dosyaların bulunduğu sunucuya (~artproduction.de) bir yönlendirici olarak kullanılıyor. 302 yönlendirici sunucudaki bir dizine işaret ediyor ama ben, birinde “new” etiketli olan viewimage php script’le birlikte en azından başka (ve farklı) executable’lar bulunan beş dizin daha buldum. Malware yazılımcıları eserlerinin varyasyonlarıyla denemeler yapıyor gibi görünüyorlar ve 302 yönlendiricisini orjinal domain’den diledikleri birine değiştirebiliyorlar. Sunucu İstanbul’da ve yönlendirici Washington’da bulunuyor.
Haberin Kaynağı: FortiGuard Blog