Pages

2/15/2011

Malware จาก Facebook ภาค 3

ไม่รู้จะต้องต่อไปอีกกี่ภาคจะหมด  แต่ก็ถ้าได้ของเล่นมาใหม่ก็จะเอามาลองดู

ความจริงอันนี้ดูเหมือนจะไม่ใช่ malware อะไร แต่เห็นเริ่มจะเห็น pattern อะไรแปลกๆ

อันนี้มันมาเป็น email มาบอกว่ามีคนโพสต์อะไรซักอย่างที่ Wall




พอเช็คตัวemailแล้ว ทุกอย่างดูเชื่อถือได้หมด
คนส่งเป็น Facebook, origin เองก็มาจาก facebook เอง

แต่พอดู Link นี่แล้ว ประหลาด
ดันเป็น www.facebook.com/l/f58b8;goo.gl/rRh9q
อ่านแล้วก็งง
เหมือนจะจำได้ว่าเคยเล่น facebook redirect อยู่
ที่จะเป็น  www.facebook.com/l.php?u=www.example.com&h=abcdef

นี่มันเหมือน redirect เลย แถมยังมาแนวใหม่
เดี๋ยวนี้ไม่ต้องใช้ .php ใส่แล้ว
แถมเอา hashมาขึ้นก่อน แล้วไม่ต้องมีชื่อ parameter แล้วด้วย
ใช้ semi-colon คั่นได้เลย  เจ๋งดี

แต่ก่อนอื่นหาให้ได้ก่อนว่า ไอ้ url ที่เป็น goo.gl/rRh9q เนี่ยมาจากไหน

ด้วยเทคนิคของทางgoogleบอกเอาไว้
เวลาอยากรู้URLไหนที่ถูกย่อด้วย goo.gl  ทำได้สามทาง
  1. ใส่ + ต่อท้าย   จะกลายเป็น  http://goo.gl/rRh9q+
  2. ใส่ .info ต่อท้าย จะกลายเป็น http://goo.gl/rRh9q.info
  3. หรือแทรก /info/ จะกลายเป็น http://goo.gl/info/rRh9q


เหอๆ ได้จาก FB แต่ดันออกไปหาเวปอื่นซะง้าน

ปกติแล้ว จะเริ่มหยุดที่ราวๆนี้แหละ ขี้เกียจทำต่อ
แต่.. เอาล่ะ ไหนๆจะเขียนโพสต์นี้แล้ว ตามก็ตามฟะ
ก็กดเข้าไปเลย


เริ่มต้นจาก
goo.gl/rRh9q
ต่อมาไปต่อ
xbox360iso.info/go.php
ต่อไปอีกไป
apps.facebook.com/thinkingwhat/    (ตรงนี้บางทีก็เปลี่ยนเป็น womanjob, หรืออื่นๆ)
ดังนั้นตรงนี้ยังไม่ใช่ตัวหลัก

มีต่ออีก  มีการต่อไปหา facebook เพื่อขอ สิทธิ์แบบปกติ
จนในที่สุดก็ได้สิทธิ์แล้วก็ไปใช้งานapp ที่
http://anticreep.org/kk
นี่แหละตัวสำคัญ ฮ่าๆ
เพราะว่าได้สิทธิ์แล้วก็ส่งสิทธิ์ผ่านตัวนี้
ถึงแม้ว่าจะติดต่อผ่านหน้ากาก thinkingwhat แต่ก็ตัวwebจริงๆอยู่ที่ anticreep

ตรงนี้ก็ยังเหมือนเวปธรรมดาทั่วๆไป
แต่หลังจากนี้สิ
เริ่มมีการ request ชื่อเพื่อนของเรา มีการดึงข้อมูล basic info ไป
แล้วก็เริ่มมีการเรียกไอ้ pop-up survey ปัญญาอ่อนนั่นขึ้นมา
ที่มันมีกรอบ survey แบบนี้อ่ะ
Survey นี้มาจาก bannerperformance.net
ซึ่งมีโค้ดjavascript ซ่อนอยู่  แล้วก็โค้ดพวกsurveyนี่ก็แบบ..
<font id="survey_3"> <a class="offerlink" onclick="clickSurvey(82349881028, 3); awaitLead('survey', '82349881028'); return false;"> <img src="http://www.bannerperformance.net/webicons/script_edit.png" border="0"> Get Your Verizion iPhone 4 Here</a> </font>
จะมาดูเวปfacebookแต่ดันเอา iphone มาล่อซะงั้น
เฮ้อ... กดไปเห้อ.. ไม่ได้ไปไหนหรอก

และแล้ว...
ก็มาถึงช็อตสำคัญ  เนื้อหาหลักของ facebook app นี้
นั่นก็คือการบอกว่า มีคนเข้าดู profile เรากี่คน ชายเท่าไหร่ หญิงเท่าไหร่
ดีที่ว่า คนเข้า ชายหญิง ไม่เหมือนกับสิ่งที่ได้มาตอนแรกใน email ไม่งั้นจะกากหนักกว่านี้ ฮ่าๆ

แล้วหลังจากนี้ ก็คงเอารายชื่อเพื่อนเรามาให้เราไปโพสต์หน้า wall ของเพื่อนพวกนั้นให้มาโดนกันต่อไปอีก

น่าสนใจต่อไปก็คือ  ตัวนี้ดันมีเก็บสถิติด้วยนะ :)
http://whos.amung.us/stats/maps/gdoklae6ad0k/
 อันนี้กราฟสถิติว่า ประเทศไหนมันกด link นี้กันเยอะสุด
แล้วจะเห็นว่า... ประเทศไทยนี่มันไม่น้อยหน้าใครในโลกจริงๆ ฮ่าๆ
(ยุโรปเนี่ยยกให้หน่อย เพราะ ต้นกำเนิดตัวนี้มันอยู่แถวยุโรป)

ส่วนวิธีแก้ของคนที่เข้าไปแล้ว
ก็ง่ายๆ
แค่ไปเอา facebook application ตัวนี้ออกเอง
กดเข้าไปที่..
- Account (มุมขวาบนของ facebook)
- Privacy Settings
- ในช่อง Apps and Websites เลือก Edit your settings
- คลิ๊กเลือก fb app ที่ต้องการเอาออก  (ในที่นี่เรากด app ชื่อ Thinking เข้ามา เลยต้องเอาตัวนี้ออก)
หน้าจอตอนนี้จะได้เป็นราวๆนี้

- ก็กด Remove App ไป
- ถ้าเอาให้ชัวร์ก็ Logout ซะด้วยเลย   จะเป็นการตัด sessions อื่นๆที่คนอื่นเข้าอยุ่ไม่ให้ใครเข้าได้
- เอาให้ชัวร์ยิ่งๆขึ้นไปอีก  เปลี่ยน password มันซะเลย    (แต่คิดว่าไม่ต้องถึงขั้นนี้นะ)

เอาละ จบการรายงานข่าว

Anidear: เล่าข่าว
Anidear: ภาพ



Update:
เมื่อกี๊เพิ่งเช็ค ปรากฎว่า app ชื่อ thinkingwhat, womanjob หายไปละ
ตอนนี้ใช้สามตัวนี้แทน
  • "Condition" http://www.facebook.com/apps/application.php?id=195349840493422
  • "Lurking"  http://www.facebook.com/apps/application.php?id=181729178535508
  • "Balancecheck"  http://www.facebook.com/apps/application.php?id=154081304649527

No comments:

Post a Comment