Articoli con tag Virus

Ei, negli ultimi 10 giorni hai visitato il mio profilo 15 volte!!!!

Praticamente un giorno si ed un giorno pure, capita di aprire la bacheca di Facebook e leggere appelli su supposti “virus” che intasano il social network. Non è facile capire se si diffondano di più gli appelli stessi o i pericoli da cui essi vogliono metterci in guardia…

Oggi me ne è arrivato, appunto, un altro. E la curiosità di capire che cosa combinino questi pseudo-virus mi prende sempre la mano!

Intanto l’avviso (ovviamente con il link censurato): “ei, negli ultimi 10 giorni hai visitato il mio profilo 15 volte. Scopri anche tu chi spia il tuo Profilo con la nuova App Ufficiale -> lonXXXXXrning.info/?15XXX68”

A questo punto, armato di macchina virtuale, wireshark e account facebook “sacrificale”, ho seguito il link ed analizzato, prima con telnet e poi con lo sniffer, cosa succede. Ma dopo aver eseguito un DNS lookup!

L’indirizzo punta all’ IP di un server (posizionato tra il Canada e gli Stati Uniti) di una società di marketing on line e SEO optimization. Tra i numerosi server ospitati sulla sua infrastruttura ne spunta uno che pubblicizza, guarda i casi della vita, una società di “mass mailing”: “spam” per capirci…

Aprendo il link si ottiene la seguente pagina

<script language=”javascript” type=”text/javascript”>
<!–
window.setTimeout(‘window.location=”http://lonXXXXXrning1.info/?32XXX060&#8243;; ‘,1200); //
–>
</script>

che reindirizza il browser su un’altra pagina (ndr sullo stesso server), la quale utilizzando le API di Facebook richiede il login sul social network.

<!–
We use the JS SDK to provide a richer user experience. For more info, look here: http://github.com/face/connect-js
–>
<script>document.location=’https://www.facebook.com/login.php?api_key=1121XXX22238&cancel_url=http%3A%2F%2FlonXXXXXrning1.info%2F%3F32XXX060%3D&display=page&fbconnect=1&next=http%3A%2F%2F
lonXXXXXrning1.info.info%2F%3F32XXX060%3D&return_session=1&session_version=3&v=1.0&req_perms=xmpp_login’;
</script>

A questo punto… la mia ricerca finisce qui perchè Facebook ha già provveduto a bloccare l’applicazione e dunque quello che si può vedere con il browser è:

Analizzando la stringa di connessione a Facebook ne viene fuori che:

display=page: visualizza la richiesta di login in un'altra pagina (e non in un popup) req_perms=xmpp_login: consente all'applicazione di accedere alla bacheca ed alla chat... 

In pratica, per quanto poco si sia potuto vedere, immagino che l’applicazione cercasse di scrivere messaggi (come tutti i suoi predecessori) su bacheca e chat.

Come sempre il problema non è Facebook in se, che di base tutela bene la sua infrastruttura, ma di chi segue link senza usare la testa. Perchè quel link avrebbe potuto nascondere qualsiasi altra insidia, anche una pagina malevola in grado (quella si) di installare un worm sul pc.

Come sempre… attenzione!

Annunci

,

1 Commento