LV. 44
GP 2k

【心得】15歲少女在Facebook上露胸後自殺(FB惡意病毒)

樓主 凌羽 soron255054
GP605 BP-

作者標示-非商業性

本授權條款允許使用者重製、散布、傳輸以及修改著作,但不得為商業目的之使用。使用時必須按照著作人指定的方式表彰其姓名。

文章歡迎轉載,但是請注意CC條款,須標示作者暱稱以及原出處

很久沒有寫資安的文章了,雖然自己本家是資訊安全

這是一個最近流傳的比較火紅的FB病毒(姑且先把他說成病毒)

這一隻是目前比較有趣的,因為他是透過跨瀏覽器平台的攻擊,代表說兩大瀏覽器都會中獎

首先呢,當然是最近FB亂傳一堆的文章"15歲少女在Facebook上露胸後自殺"
擴散方式相當多樣化,由發起活動到標記朋友名字等都有
首先先看看,這是典型的散播途徑



之後就點進去看

可以看到他先使用了第一個頁面,這樣子的設計是讓FB抓連結快取用,可以讓快取圖片以及標題弄成他想要用的內容,之後跳轉頁面到另一個頁面


之後跳轉到這個apps的頁面後,會提示你要安裝套件,這個就是主要的散播途徑,讓你去打開這個檔案


可以看到她誘騙你下載的檔案


當然,我們這時候就要去分析這個檔案,這個檔案主要是一個rar的自我解壓縮檔去包出來的


解壓出來的共有這幾個檔案,病毒的主體是使用Js去編寫的,沒加密,歡迎各位自己研究,小弟我沒那個時間慢慢看code...
主要檔案為1.crx以及2.xpi
這兩個都是附加元件,分別為google chrome跟firefox的套件檔案
神奇的是,在我本次的分析中唯一幸免於難的瀏覽器就是IE,以前被視為最不安全的瀏覽器在本次事件相當淡定啊...或許是我沒有分析出來吧


不過驗證了一句話:相當多的設計師都討厭IE
連做病毒的都不想寫針對IE,畢竟IE目前市場上主流除了退流行但還有一定數量的IE6
還有隨機安裝,以及盜版使用者的,IE7~10的版本
每一種都要做調整才能正常運行(e04)
果然微軟連cracker都不愛


不過這一次的這種攻擊很奇特的躲掉了防毒軟體

因為在防毒軟體規則中,壓縮檔以及自解檔不算是惡意程式,很多軟體都是用自解包,所以防毒軟體不會因為自解檔而叫,其次就是裡面包的檔案問題,裡面所包的檔案都是套件檔案,防毒軟體一般都直接白名單,因為這種檔案並不能直接執行

也因此,這次受害者較多,因為防毒軟體根本不會叫

樣本包謹慎使用,裡面有部分原始碼以及病毒本體的exe,請勿任意開啟,如非專業隨意打開後果自行負責


解決方案,因為我沒有實際安裝,僅提供拿掉方式
Firefox需先按下ctrl+shift+A進入套件管理員,將該病毒安裝套件移除即可
該病毒在Firefox產生出一個插件
插件名稱為:Mozilla Service Pack
說明是 "浏览器的更新,以提高稳定性和安全性"

google chrome的話則是
Chrome Service Pack
說明跟Firefox的差不多

移除後危機解除,但是由於不知道是否有獲取使用者敏感資料,所以建議還是改掉FB的帳號密碼,建議做Facebook的手機綁定才會較為安全

605
-
板務人員:

1319 筆精華,08/17 更新
一個月內新增 0
歡迎加入共同維護。


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】