Спам «ВКонтакте»

Спам в социальных сетях — тема не новая и регулярно попадает в отчеты и доклады антивирусных компаний. Обычно в докладах говорится о характеристиках этого спама: таргетинг, тематика, «качество» и т.д., а вот откуда этот спам берется, обычно обходится, так как периодически это узнать трудно или практически невозможно.

Однако в описываемом случае спама в соц. сети «ВКонтакте» узнать, как происходит заражение аккаунтов, куда и как рассылался спам, оказалось не сложно — это потребовало начальных навыков работы с компьютером 8)

Итого:

1. Спам

   
   Пример рассылаемого спам сообщения

   Обычный спам от «друга» со ссылкой, ведущей на блог liveinternet.ru, с описанием плагина в FireFox и ссылкой не него.
2. Плагин

   Дополнения к firefox’у имеют расширение xpi и представляют из себя просто zip архив.

   
   
   Первые буквы PK в начале файла говорят о том, что это файл формата ZIP

   Переименовав расширение файла в «.zip», можно его разархивировать и посмотреть на его содержимое.

3. XUL

   Внутри этого архива в специальном порядке содержится полная информация о плагине, его функциональности и работе. Самым интересным файлом во всей этой структуре является файл \chrome\content\content.xul, который содержит список файлов, участвующих в работе плагина.

    
   
   Содержимое файла content.xul

4. REMOTE.JS

   Просмотрев файлы, необходимые для работы плагина, видим файл, находящийся не в исходном ZIP-архиве, а в интернете по адресу: http://81.177.33.**/smiles_vkontakte/remote.js.

   Просто открыв этот адрес в браузере, можно увидеть скрытый функционал этого плагина, где помимо всего прочего присутствует часть кода на JavaScript, отвечающего за рассылку спама.

    
   Часть кода, отвечающий за рассылку спама

5. Замена букв

   Учитывая, что администрация соц. сети «ВКонтакте» регулярно проверяет и блокирует спам-рассылки, злоумышленники ввели в рассылку спам-сообщений функционал элементарной замены букв, чтобы текст сообщения постоянно видоизменялся и проходил через спамфильтры.

    
   
   Часть кода, отвечающего за видоизменения
   спам-сообщения для обхода спам-фильтров

   Вывод

   Все просто. Разработчики этого спам-бота взяли за основу плагин для сети «ВКонтакте» и добавили туда скрытый функционал для работы в виде модуля для рассылки спама по контактам. Самое интересное, что никто не мешает злоумышленникам сменить содержимое файла Remote.js и устроить… Впрочем об этом лучше не думать…

   PS.

   Спамерский плагин был добавлен в базы Антивируса Касперского как Trojan.JS.Spamvkont.a.