Freitag, 18. Februar 2011

Facebook-Wurm "Wow! Seems like lots of people stalk me"

Ein neue Facebook-Wurm hat mich gerade erreicht. Man muss ihn jedoch selbst ausführen. Darum tarnt er sich als Tool um zu sehen wer auf deiner Facebook-Seite war. Führt man seine Anweisungen aus wird ein Script gestartet das Spam-Nachrichten an deine Freunde verschickt. Mit jsbeautifier lässt sich das JavaScript entpacken. Es wurde auch schon bei github und pastbin hochgeladen.

Karagasidis Dimitris hat sich das genauer untersucht und folgende Funktionen dokumentiert:
  • Statusmeldungen mit Werbung auf eigener Pinnwand
  • Pinwand-Einträge mit Werbung bei Freunden
  • Werbung auf eigenen Facebookseiten
  • Hinzufügen von Admins auf eigenen Facebookseiten
  • Verschicken von privaten Nachrichten mit Werbung
  • "Gefällt mir" für verschieden Gruppen anklicken
  • Alle Kontakte zu einer Veranstaltung einladen
Abschließend wird man auf http://fbviews.org/result.php weitergeleitet von dem aus man zu einem IQ Test, sowie einer Horoskop Seite kommt, die wohl auf Abzocke aus sind. Das Script versucht vorher Statistiken von Facebook auszulesen, die sind aber bei mir leer.

Was tun wenn man das Script ausgeführt hat?
  • Auf das eigene Profil gehen und alle verschickten Nachrichten löschen
  • Prüfen was einem alles gefällt.
  • Alle eigenen Seiten durchgehen und die Administratoren prüfen.
  • Deine Freunde warnen, bzw. mit einem Link auf diesen Blog
Wenn du dich trotzdem noch unsicher fühlst, brenne bei einem Freund eine Boot CD mit Virenscanner und überprüf deinen PC. Zum Beispiel mit F-Secure Rescue-CD oder Avira AntiVir Rescue System.

Mögliche Nachrichten Texte des Wurms:
  • New FB tool shows who stalks your profile-- http://is.gd/OvdbDB
  • Wow! Seems like lots of people stalk me - http://goo.gl/euvS3
  • Secret tool shows who stalks your pics http://goo.gl/3Nt6T
  • Insane! Awesome tool to see who looks at your pics >> http://goo.gl/G0yae
  • According to http://goo.gl/NMclq you're my top stalker. Creep.
  • Secret tool shows who stalks your pics - http://goo.gl/9ZEcf
Gefundene Admin-Emailadressen:
  • adrialovato306@yahoo.com
  • chunfeezellwytm@hotmail.com
  • lethaburbach890@yahoo.com
  • tenishaholsmanpdop@hotmail.com
  • wintersaccohoqr@hotmail.com
  • zasind@hotmail.com
  • wendiemanassehfht@hotmail.com
  • joanievarazasind@hotmail.com
  • shalafohnpdcg@hotmail.com
Betreff für private Nachrichten:
  • Check this out!
  • Hey, whats happening?
  • Hey! This is awesome
"I like" / "Gefällt mir" Gruppen
Genutzte Domains:
  • profileview.info
  • fbviews.org
  • fbprofilestalker.com
  • thecreepers.co.cc
  • facecreepers.co.cc
  • peeptheview.co.cc
  • fbcreeper.info
Genutzte Weiterleitungen:
http://goo.gl/05GJ3,http://goo.gl/3FFNZ,http://goo.gl/3Nt6T,http://goo.gl/4Td2i,http://goo.gl/535OK,http://goo.gl/6Dq4c,http://goo.gl/6gC5n,http://goo.gl/6hr4J,http://goo.gl/8jBUL,http://goo.gl/9ZEcf,http://goo.gl/aC1No,http://goo.gl/AcPgV,http://goo.gl/bGshn,http://goo.gl/bZzdm,http://goo.gl/Dv3wz,http://goo.gl/DxvMD,http://goo.gl/euvS3,http://goo.gl/eyAw5,http://goo.gl/fRA7i,http://goo.gl/FTx5T,http://goo.gl/G0yae,http://goo.gl/gkHVE,http://goo.gl/Hhjza,http://goo.gl/Il9kH,http://goo.gl/ixMjn,http://goo.gl/kftAl,http://goo.gl/M9YkZ,http://goo.gl/NJ7iy,http://goo.gl/NMclq,http://goo.gl/PVDvo,http://goo.gl/rLvls,http://goo.gl/RWjox,http://goo.gl/S30gS,http://goo.gl/sB7Ou,http://goo.gl/sPZBe,http://goo.gl/t1T09,http://goo.gl/UpBv8,http://is.gd/9KzSS7,http://is.gd/OvdbDB,http://ow.ly/3YRkc,http://ow.ly/3ZeLX,http://ow.ly/3ZMTb,http://tiny.cc/qx8mp,http://tiny.cc/v1bwd,http://tiny.cc/z2dx4,http://tiny.cc/zs9ga,http://tinyurl.com/48jd66w,http://tinyurl.com/4tdclds,http://tinyurl.com/procreeper,http://goo.gl/afqzq,http://goo.gl/yC0Ux,http://goo.gl/wSkGf,http://goo.gl/HYzkq,http://goo.gl/hHeDj,http://goo.gl/alGgl,http://goo.gl/h0Ifo,http://goo.gl/klmXC,http://goo.gl/afqzq,http://goo.gl/HYzkq,http://goo.gl/zXL3d,http://goo.gl/6Tteo



9 Kommentare:

Unknown hat gesagt…

Ich habe gestern einen Link mit diesem Text auf Facebook bekommen.

Insane! Awesome tool to see who looks at your pics >> http://goo.gl/lfDvG

Wenn man den Link anklickt bittet er einen ein Javascript im Browser zu starten. In einem Moment geistigen Totalausfalls habe ich das wirklich gemacht.
-.-
Ich bin an einem Mac und habe seitdem bereits mehrere Viren und Malware Scanner durchlaufen lassen.

Kann irgendjemand lesen was das Script genau macht?
Ist das nur Spam? Ist das Datenphishing?
Muss ich mir wirklich Sorgen machen oder kann ich das ignorieren?

Pinetik hat gesagt…

Ich glaube du brauchst dir da keine großen Sorgen zu machen. Die meisten Viren Zielen auf Windows. Nach einem brauchbaren Virenscan musst du dir wahrscheinlich keine Sorgen mehr machen. Unter Windows hätte ich da schon eher bedenken. Mein Avira Scanner hatte Ihn noch nicht erkannt, aber Sophos findet ihn schon. Am besten bei einem Freund eine Virenscanner Boot CD brennen und von dieser aus scannen.

muck3y hat gesagt…

Was kann man den nun dagegen unternehmen, wiederholt sich das ganze dann immer wieder?

Pinetik hat gesagt…

@muck3y: Wenn du noch nicht betroffen bist, einfach nicht auf die Seite gehen und nicht das Script ausführen. Falls du das gemacht hast solltest du 1. deinen Browser neustarten. 2. Alle Nachrichten löschen die der Wurm verbreitet hat und deine Freunde warnen. 3. einen Virenscanner laufen lassen (sicher ist sicher)

muck3y hat gesagt…

Hab leider, blöd wie ich war, draufgeklickt^^, Virenscan mach ich gleich. Der Javascript befehl macht das ganze aber nur dieses einmal, richtig?

Pinetik hat gesagt…

@muck3y: Richtig, das Script wird nur einmal ausgeführt, läuft aber eventuell in dem Fenster weiter bis du es zu machst. Also Browser schließen oder Neustarten und das Script ist komplett weg.

Unknown hat gesagt…

Hallo Pinetik und andere Leute,
habe das Script auch ausgeführt.
Ist es jetzt ein Virus, ein Wurm oder Spam?
Habe Windows. Antivir sagt, dass mein System sauber ist.
Was ratet ihr mir? Muss ich mein System formatieren?

Pinetik hat gesagt…

@Axel: Also erstmal Ruhe bewahren!
An sich ist das nur ein harmloses JavaScript das etwas Werbung für sich macht. Browser bzw. Rechner neustarten und das Script ist restlos beseitigt.
Es ist natürlich denkbar das dich das Script auf eine Seite geleitet hat die versucht bei dir etwas zu installieren. Wenn sich dein PC also komisch verhält, d.h. auffällig langsam wird, CPU last immer auf 100%, ... Dann wäre es wohl gut mal einen aktuellen Virenscanner von einer Boot CD laufen zu lassen. Zum Beispiel "F-Secure Rescue-CD" oder "Avira AntiVir Rescue System". Das schadet nie.

Pinetik hat gesagt…

So, ich hab den Text noch mal komplett überarbeitet und einige neuen Informationen eingefügt.