Wir zeigen einen Weg auf, wie eine bestimmte Version des "Es geschah vor laufenden Kameras"-Videospam selbständig vom eigenen Facebook-Konto verschickt wird. Und wie das abgestellt werden kann. Diese Information könnte aber auch für andere User interessant sein, von deren Facebook-Konto selbständig Inhalte verschickt werden. Wir hatten Gelegenheit, an einem Rechner zu sitzen, von dem aus das Facebook-Konto des Users selbständig angebliche Videolinks an seine Freunde verschickte.

-Produktempfehlung: Kaspersky lab-

Einen ähnlichen Link sieht Ihr im Screenshot:

clip_image002

Zwei Besonderheiten waren zu bemerken. Der Link änderte sich bei jedem Post in eine andere Buchstabenkombination vor .blogspot.com. Der Vorname des Users, auf dessen Pinnwand der Link gepostet wurde, wurde im Text erwähnt.

Die Suche nach der Ursache

Zuerst führten wir die drei Schritte durch, die immer anzuraten sind, wenn der Rechner bzw. das Facebook-Konto seltsam reagieren:

1. Änderung des Passwortes

2. Virusscan

3. Überprüfung der Facebook-Anwendungen

Der Virusscan mit drei verschiedenen Programmen brachte kein Ergebnis (kein Befall). Die Facebook-Anwendungen waren alle gelöscht. Die Links wurden danach immer noch verschickt.

Irgendwann fiel uns auf, dass der Browser beim Start und beim Aufrufen der Facebook-Loginseite immer eine Verbindung zu einer Videoseite aufbaute. Daraufhin sahen wir uns die Browser-AddOns an.

Und richtig! Wir fanden ein AddOn, dass der User nicht kannte und auch nicht wissentlich installiert hatte

Youtube extension 1.4.0

Wir entfernten dieses Addon. Nach dem Neustart des Browsers erfolgte kein Zugriff auf die Videoseite mehr. Danach war auch Schluss mit dem Video-Spam.

Wie kam das AddOn auf den Rechner

Wir können auch nur spekulieren, aber wahrscheinlich hat der User unbemerkt eine Installation ausgelöst, als er zum Beispiel auf einen Button wie hier im Screenshot dargestellt geklickt hat:

clip_image002[10]

Es gibt aber durchaus noch andere Fallen für User, durch die das AddOn auf den Rechner gekommen sein kann.

Euer Konto verschickt einen anderen angeblichen Videolink

Wir haben dieses AddOn als eine Ursache für den oben gezeigten Videospam identifiziert. Wenn Euer Konto anderen Videospam verschickt, wie z.B. das Pickelvideo oder die immer wieder auftauchenden spanischen Videos, und Ihr die oben genannten Schritte 1 bis 3 ebenso erfolglos durchgeführt habt, solltet Ihr Eure Browser-AddOns auf andere nicht wissentlich von Euch installierte AddOns überprüfen. Wir müssen davon ausgehen, dass dieser Weg des Spams auch über andere AddOns möglich ist.

Als grundsätzlichen Tipp in diesem Zusammenhang solltet Ihr Eure AddOns sauber halten. Das heißt, nicht mehr benutzte und unbekannte AddOns regelmäßig zu löschen.

Schlussfolgerung

Leider müssen wir zu den oben genannten Schritten 1 – 3, die bei merkwürdigen Verhalten des Facebook-Kontos immer anzuraten sind, jetzt einen vierten Schritt hinzufügen.

1. Änderung des Passwortes

2. Virusscan

3. Überprüfung der Facebook-Anwendungen

4. Überprüfung der Browser-AddOns

ZDDK / MIMIKAMA bedankt sich bei André für diese Information!

-Mimikama unterstützen-