Onderzoekers hebben een nieuwe JavaScript-worm ontdekt die gebruikers van Internet Explorer, Facebook en torrentsites aanvalt. De Proslikefan-worm valt als eerste op door de omvang. Terwijl de meeste wormen die in JavaScript en VBScript zijn gemaakt een paar kilobytes groot zijn, 'weegt' Proslikefan 130 kilobytes. De worm heeft het voorzien op Windows-computers. De malware kan binnen de browser worden uitgevoerd, zolang die ActiveX ondersteunt, wat in de meeste gevallen Internet Explorer betekent, hoewel er ook andere browsers zijn die door middel van plug-ins ActiveX kunnen ondersteunen.
Een andere opvallende eigenschap is dat de malware naar bepaalde sleutelwoorden op Google kan zoeken, waarbij het de URLs van alle zoekresultaten verzamelt. De verzamelde URLs worden vervolgens geanalyseerd op mogelijke SQL Injectie-fouten. Is er een lek in de website gevonden, dan wordt de relevante informatie naar de Command & Control-server gestuurd.
Verder zoekt Proslikefan naar WordPress blogs die de TimThumb plug-in gebruiken. Een lek in de plug-in wordt vervolgens gebruikt om bestanden op de webserver uit te voeren.
Facebook
Op de besmette computer zoekt de worm in de cookies directory naar een geldige Facebook sessie. Is er een geldig cookie aanwezig, dan kan de malware bepaalde pagina's 'liken' of hier fan van worden. Ook kan het chatberichten naar andere Facebook-gebruikers sturen. Facebook detecteert de malware inmiddels en waarschuwt gebruikers die besmet zijn geraakt.
Proslikefan gebruikt daarnaast ook de Autorun-functie van Windows om zich te verspreiden en plaatst zich in de directory van verschillende bestandsuitwisselingsprogramma's. Vervolgens maakt het verbinding met The Pirate Bay om daar een exemplaar van zichzelf te uploaden die vanaf de besmette computer wordt aangeboden.
Deze posting is gelocked. Reageren is niet meer mogelijk.