- “Wie findest du das Foto?”
- “seen this?? 😀 %s”
- “This is the funniest photo ever!”
- “bekijk deze foto:D”
- “uita-te la aceasta fotografie:D”
Tak jak w przypadku wielu innych, podobnych incydentów, cyberprzestępcy wykorzystali socjotechnikę, zachęcając użytkowników do obejrzenia zdjęć o kuszących nazwach. Na końcu wiadomości znajduje się odsyłacz, taki jak http://www.facebook.com/l.php?u=********.org/Jenny.jpg. Oprócz odsyłacza do pliku Jenny.jpg wiadomości zawierały również podobne odsyłacze do Sexy.jpg.
Strona, do której prowadzi odsyłacz http://www.facebook.com/l.php?u=, w rzeczywistości nie jest szkodliwa – zawiera ostrzeżenie z Facebooka informujące użytkownika, że opuszcza stronę.
Jeżeli użytkownik kliknie przycisk “Continue”, odsyłacz zaprowadzi go na zainfekowaną stronę. Cyberprzestępcy wykorzystali ten mechanizm, aby szkodliwy odsyłacz wyglądał na całkowicie bezpieczny. Użytkownik zostanie przekierowany na adres ********.org/Jenny.jpg, który z kolei prowadzi do zainfekowanego pliku PIC1274214241-JPG-www.facebook.com.exe. W efekcie szkodliwy program jest instalowany i uruchamiany na komputerze niczego niepodejrzewającego użytkownika. W przypadku próby obejrzenia obrazka Sexy.jpg dzieje się dokładnie to samo.
Analiza szkodników, do których prowadzą “obrazki” Jenny.jpg oraz Sexy.jpg wykazała, że są to typowe downloadery, czyli aplikacje pobierające na zainfekowany komputer inne niebezpieczne programy. W tym przypadku pobierany jest plik srce.exe.
Aby użytkownik niczego nie podejrzewał, downloadery otwierają również zdjęcie obiecywane w pierwotnej wiadomości spamowej. Zdjęcie jest pobierane z Internetu.
Czym jest srce.exe? Jest to aplikacja pobierająca robaka IM-Worm.Win32.XorBot.a, który wykorzystuje komunikator Yahoo Messenger w celu wysyłania kolejnych zainfekowanych wiadomości użytkownikom.
Podsumowując, odsyłacz do strony na Facebooku jest wykorzystywany w spamie wysyłanym za pośrednictwem komunikatorów internetowych zamiast bezpośredniego odsyłacza do szkodliwego obiektu. Można powiedzieć, że Facebook jest wykorzystywany w ten sam sposób co usługa typu
bit.ly
: pozwala modyfikować odsyłacze, tak aby były kierowane przez domenę Facebook.
“Robak Zeroll nadal aktywnie rozsyła spam. Wiadomości zawierają odsyłacze do różnych plików, jednak wszystkie mają podobne, dość jednoznacznie kojarzące się nazwy, takie jak Girls.jpg czy Marisella.jpg” – powiedział Wiaczesław Zakorzewski, analityk zagrożeń z Kaspersky Lab. Chociaż większość osób wie, że nie powinno się klikać dziwnych odsyłaczy, nawet jeśli zostały wysłane przez kogoś z ich listy kontaktów, warto przypomnieć o tym jeszcze raz. Niestety, cyberprzestępcom nie można odmówić kreatywności, czego dowodem jest spam rozsyłany przez robaka Zeroll.”