Tổng cộng:
Tổng quan về con malware mới trên Facebook
Tên tập tin có dạng: video_XXX.zip hoặc sex_video_XXX.zipGiải nén file ZIP này ra sẽ được một tập tin có tên dạng: Video.XXX.mp4.exe
Cách ngăn chặn malware
Dựa theo các thông tin đã có trong bài phân tích này, các bạn có thể thấy mục tiêu của con malware này là nhắm vào nhóm đối tượng sử dụng Windows và dùng trình duyệt Google Chrome (hoặc các trình duyệt dựa trên Chromium).Tức là nếu bạn dùng Linux, Mac hoặc có lỡ tải file chứa malware từ điện thoại thì cũng không có gì đáng lo.
Vậy nếu tôi dùng Windows nhưng sử dụng trình duyệt Firefox (hoặc IE) thì sao?
- Bạn đừng quên là ngoài extension nhắm vào Chrome thì con malware này vẫn tải về một miner để chạy ngầm đào tiền nhé!
Không chỉ Facebook, con malware này còn log tài khoản Gmail và Paypal của các nạn nhân.
Nếu bạn có lỡ click và tải tập tin đính kèm được gửi qua tin nhắn Facebook thì đừng lo, tại thời điểm này bạn vẫn an toàn. Nhưng sau khi bạn vô tình mở tập tin đó, mã độc sẽ sẽ được thực thi. Chuyện gì sẽ xảy ra? Chúng ta hãy cùng phân tích tập tin này! Theo phân tích sơ bộ của một chuyên gia phân tích mã độc, loại mã độc mới được viết bằng ngôn ngữ AutoIT.
Sau một thời gian giải mã các mã rối, chức năng chính của mã độc đã dần lộ ra. Đầu tiên mã độc sẽ gửi thông tin về máy bị lây nhiễn đến địa chỉ
1
| hxxp://ojoku.bigih.bid/api/cherry/login.php |
Sau đó mã độc thực hiện tải và cài đặt một extension độc hại vào trình duyệt của người dùng, chức năng của extension này là phát tán tiếp các tập tin mã độc giả dạng video đến bạn bè của người bị lây nhiễm. Tiếp theo mã độc này thực hiện việc ghi file shortcut chrome để load extension kia vào các thư mục như desktop, taskbar, program…
