โทรจัน JS/Febipos.A ใช้วิธีการปลอมตัวเป็นส่วนขยายของ Firefox และ Google Chrome เพื่อหลอกผู้ใช้ ถ้าหากเหยื่อหลงกลทำการติดตั้งลงเครื่องโดยไม่ทันสังเกตหรือรู้เท่าไม่ถึงการณ์ก็จะถูกเล่นงานในทันทีและอาจจะถูกยึด Facebook ได้ หลังจากถูกติดตั้งลงในเครื่องมันจะพยายามทำการอัพเดทตัวเองจากเว็บไซต์ดังนี้
Google Chrome:
du-pont.info/updates/<removed>/BL-chromebrasil.crx
Firefox:
du-pont.info/updates/<removed>/BL-mozillabrasil.xpi
หมายเหตุ: โปรแกรมแอนตี้ไวรัสยังคงตรวจจับเวอร์ชันอัพเดทเป็นชื่อ Trojan:JS/Febipos.A เหมือนเดิม
จากนั้นโทรจัน JS/Febipos.A จะสำการเฝ้ามองกิจกรรมการใช้งานของเหยื่อ เมื่อเหยื่อทำการล็อกอินเข้า Facebook มันจะพยายามดาวน์โหลดไฟล์คำสั่งซึ่งเป็นตัวกำหนดการทำงานจากเว็บไซต์ <removed>.info/sqlvarbr.php โดยโทรจันนี้สามารถทำกิจกรรมต่างๆ ใน Facebook ของเหยื่อได้โดยที่เหยื่อไม่รู้ตัว อย่างเช่น โพสต์ลิงก์, โพสต์ข้อความ และแสดงความเห็นในหน้าแฟนเพจ เป็นต้น โดยกิจกรรมที่โทรจันตัวนี้สามารถทำใน Facebook มีดังต่อไปนี้
- Like a page
- Share
- Post
- Join a group
- Invite friends to a group
- Chat to friends
- Comment on a post
นอกจากนี้ โทรจัน JS/Febipos.A ยังทำการติดตั้งมัลแวร์ชื่อ TrojanDropper:Win32/Febipos.A ลงในเครื่องอีกด้วย
วิธีการป้องกันโทรจัน JS/Febipos.A
การป้องกันโทรจัน JS/Febipos.A ทำได้โดยไม่ทำการติดตั้งส่วนขยายเบราว์เซอร์ที่่น่าสงสัยหรือไม่ได้มาจากผู้ให้บริการอย่างเป็นทางการ โดยผู้ใช้ Firefox สามารถติดตั้งส่วนขยายได้ที่เว็บไซต์ Add-ons for Firefox ส่วนผู้ใช้ Google Chrome สามารถติดตั้งส่วนขยายได้จาก Chrome Web Store จากหน้า New Tab ของ Google Chrome
วิธีการกำจัดโทรจัน JS/Febipos.A
การกำจัดโทรจัน JS/Febipos.A ทำได้โดยการสแกนเครื่องคอมพิวเตอร์ด้วยโปรแกรมแอนตี้ไวรัสที่อัพเดทฐานข้อมูลไวรัสเป็นเวอร์ชันล่าสุด
บทความโดย: TWA Blog
แหล่งข้อมูลอ้างอิง
Microsoft Malware Protection Center
Copyright © 2013 TWA Blog. All Rights Reserved.
0 Comment:
Post a Comment