新木马程序在猎取Facebook、Twitter和Google Plus用户
2013年5月16日
      Doctor Web公司--俄罗斯反病毒保护产品开发商--发现针对Facebook的新恶意软件的一个原来不为人知的功能，对此恶意软件媒体已有广泛报道。Trojan.Facebook.311 不仅能以用户名义发布新状态、加入群、发表评论，还可在社交网络Twitter和Google Plus传播垃圾邮件。
      木马程序Trojan.Facebook.311 是用 JavaScript语言写成的常用浏览器Google Chrome 和Mozilla Firefox加载项 。不法分子利用社会工程手段传播此木马程序：利用冒充"视频观看安全更新"的安装程序侵入系统。值得一提的是，安装程序具有属于Comodo 的Updates LTD 公司数字签名。加载项名称分别为Chrome Service Pack和 Mozilla Service Pack。为了传播此木马程序，不法分子专门建立了葡萄牙语网页，主要面向的很可能是巴西的Facebook用户。

      安装结束后，Trojan.Facebook.311在启动浏览器时会从不法分子服务器下载指令文件。之后内嵌到浏览器的恶意插件会等待用户登录到社交网络 Facebook。随后木马程序可根据不法分子配置文件中的指令以用户名义进行各种操作：投票"喜欢"、公布状态、在用户墙发布通知、加入群、发表评论、邀请用户通信薄中的联系人加入群或向其发送通知。此外，这一木马还会按照不法分子的指令加载、安装新的插件版本，与社交网站Twitter和 Google Plus互动，互动的目的包括传播垃圾邮件。 

      最近一段时间我们发现Trojan.Facebook.311 在Facebook传播含有貌似浏览器内嵌媒体播放器图像的通知。点击图像后用户会被引至各种诈骗网页。通过类似的方式木马程序通过个人通知或状态为各种以大奖为诱饵的诈骗性知识比赛做广告。 

      上述木马威胁的特征码已加入到Dr.Web病毒库，因此不会危害到我公司产品的用户。尽管不法分子主要利用Trojan.Facebook.311攻击巴西用户，但类似的手法也很有可能会用到其他Facebook用户身上。Doctor Web公司的反病毒专家建议用户要提高警惕，不要下载安装可疑的应用程序或浏览器"安全更新"。