有沒有 FB Fake APP 木馬重出江湖的八卦！？

記得之前提過「FB被盜不是改密碼就好了！？Chrome 及 Firefox 用家小心！新型木馬會自動操作 Facebook 帳戶」，這次聽說偽裝 FB APP 木馬又重出江湖，不再是一成不變的短網址以及誘導點擊的XXX影片，這次木馬偽裝成必須要安裝的擴充元件要求你下載安裝，由於本人周遭目前還沒有人中馬，因此沒有辦法截圖...

Reference: http://steachs.com/archives/3233

點擊網址後就會跳出像這樣假裝是 Facebook 頁面的畫面，然後倒數 2 秒後會自動下載檔案，因為這串英文是告訴你，必須要再下載一個軟體，告訴你這軟體很厲害的意思，看來頁面做的很假，很多人都被騙倒，特別是下一個畫面，往下看。

檔案的後綴名稱用了「facebook.com」做為結尾，也難怪一堆人上騙，因為這只是檔名，實際上並不是 facebook 網站下載的檔案，所以遇到不明檔案時，千萬要張開眼睛。

至於安裝會怎樣，阿湯就不清楚了，因為有裝防毒，下載時就立馬被擋掉了。

由這次被害人所 PO 出的網址來看，似乎不是只有中毒被害人中木馬那麼簡單，應該也有不少人的網站被當做是毒窟，置入了這個有毒的 Facebook APP，所以如果你有發現這些網址的，建議也可以通知該網址的擁有者，請他們移除檔案並檢查是否被植入木馬了。

到此，讓我們複習一下 FB 被盜、被亂加社團、亂發文等等的可能性有哪些：

1. 授權不明 APP 發文權限（Facebook App）

解決方法：趕緊刪一刪，大量刪除 Facebook 應用，保護隱私安全？ 就交給MyPermissions

或者手動到 Facebook 應用程式管理列表 檢查、刪除！

目前有新的個案表示 Android App 木馬正夯，也請小心注意。

2. 安裝木馬擴充元件（Fake Chrome Extension）

解決方法：到 chrome://extensions 檢查看看有沒有什麼不是你自己安裝的套件，如果不認識的就先移除吧！

3. 帳號密碼（使用權限）被盜取（Cookie Stealing、Trojan Horse、Phishing...）

解決方法：變更帳號密碼，重新登入（請避免網路上使用同組帳密），如果不確定洩出點且情況沒有改善的話也請將登入用的信箱密碼改改看。

如果是帕木馬、病毒可以使用 大蜘蛛Dr.Web CureIt 掃毒軟體幫您電腦手動掃毒...

普通使用者到此，全文結束XD

底下是不專業的小追蹤...

跟隨圖片網址: http://eabvpv.best.volyn.ua/dlimage11.php?sx=evui

把檔案下載下來是個 .com 執行檔

稍微解析一下，檔案透過多重下載器以及CC免殺定位進行免殺

下載器下載執行檔、批次檔，並以批次檔刪除自身，且瀏覽 IP: 91.218.39.211 （貌似是交友網站？）

@echo off
:next_try
del "D:\IamSexyJPG-fb.com">nul
if exist "D:\IamSexyJPG-fb.com" (
ping 127.0.0.1 >nul
goto next_try
)
del "%0"

"D:\IamSexyJPG-fb.com"為檔案位置

@echo off
:next_try
del "C:\Users\*\trvmvmh.exe">nul
if exist "C:\Users\*\trvmvmh.exe" (
ping 127.0.0.1 >nul
goto next_try
)
del "%0"

*號為 User Name

執行檔掃毒結果為 ydogj.exe ，由於時間晚了明天還要上班就沒有繼續研究檔案到底是在幹嘛了...