Ransomware Locky se šíří pomocí SVG obrázku přes Facebook Messenger

Existují ješte viry které nespoléhají na blbost uživatele?

Aha takže ono se to nešíří přes FB , nešíří se to ani pomocí SVG... ...ale šíří se reklama na pochybné stránky kde může být cokoliv tedy i ransomware...

Ne. V článku na TheHackerNews, kam odkazuje CSIRT, je možné vidět ukázku kódu ukrytého v SVG a screenshot FB Messengeru, kde je vidět zpráva s odkazem na SVG.

Ten súbor mám stále medzi správami na FB. Prišiel mi ako: "photo_5581.svg".

VirusTotal detekcie (SVG súbor):
https://www.virustotal.com/sk/file/576fe51fd6af962755b64ab1d1f68dacd372118eda7f3c85750cfabfbf2a2f2c/analysis/1479678481/

A odkazovalo to na web (VirusTotal web scan):
https://www.virustotal.com/sk/url/0d6788b8d40067146e73958a8484f02fcd1929ecf82cba200318ae8dd428cf57/analysis/

Samotný "cinknutý" SVG neobsahuje škodlivý kód Locky pouze směruje uživatele na webové stránky kde je.

....If clicked, the malicious image file would redirect you to a website mimicking YouTube, but with completely different URL.
Like a typical way to deliver malware infection, the site would push a popup, asking you to download and install a certain codec extension in Google Chrome in order to view the video....

Stránek obsahujících scrypty který přesměrovává na spam,scam stránky je mnoho. Nabízejí video přehrávače, kodeky, antiviry pro váš telefon je mnoho, mužete vyhrát iPhujtabl, čističe paměti, "zlepšovače" baterek a spoustu jiné špíny. Myslím minulí měsíc měli otrávenou reklamní farmu i na zivecz .

Ale samotný krok nainstalování malware je až na uživateli. A pokud nemá výchozí prohlížeč chrome a nemá povolenou instalaci mimo GPLAY.....

Spolužiak mi to poslal a samozrejme aj desiatkám ďalším. Dokonca si pridal to rozšírenie. Nehal prehladať PC aj Esetom aj Kaspersky live CD a nič to nenašlo. Predpokladám že už bude čistý. :D

Ano ano jasne znie to blbo a zle a realne je to uplne opacne ale kazdy bezny clovek si domysli ako to bolo myslene...

"Zároveň kód obsahuje downloader, který stáhne malware"
Který kód? Ten v tom SVG, nebo ten v tom rozšíření co si uživatel nainstaluje?

Nevim o tom že by ve svg standardu byla možnost něco instalovat (jedině tak v nějakém od m$)

Ve standardu to není, ale v implementaci můžou být nějaké chybky. Ale on to asi nikdo z těch zdrojů neví, co se dělo, a opisovali pojmy s dojmy jeden od druhého.

"Zároveň kód obsahuje downloader..." Kód čeho?

"Pokud uživatel na soubor klikne, může být infikován..." Pokud uživatel vstane z postele, může na něj před domem spadnout klavír.

"If clicked, the file would eventually infect your PC..."

"One of my security colleagues had in fact noticed similar behavior and got ransomware as payload"

atd...

Podle jiných zdrojů samotné kliknutí na cinklý SVG systém rozhodně neinfikuje

Proc proboha, smi byt v SVG Javascript? Se nekdo nepoucil z MS Office maker?

Ze stejného důvodu, jako může být v HTML. Aby bylo možné reagovat na vstup uživatele, provádět složitější animace apod. JavaScript v HTML i v SVG měl původně možnost jenom manipulovat s daným dokumentem, takže v tom není žádné bezpečnostní riziko. Problém MS Office maker byl v tom, že měla přístup do systému – a pokud prohlížeč přes nějaká rozšíření umožní přístup do systému, je to problém těch rozšíření, ne JavaScriptu.

Ovsem zretelne tam jakysi problem bude, kdyz SVG obrazek muze presmerovat na phishingovou stranku, tedy vykona akci mimo vlastni objekt, tedy SVG. Nejspis si muze s browserem delat, co se mu zachce.

Ne, žádný JavaScript si nemůže s prohlížečem dělat, co chce (pokud není v tom prohlížeči vážná chyba). Otevření jiného dokumentu je standardní akce, kterou je možné z JavaScriptu vyvolat – není to nic specifického pro SVG, může to udělat jakýkoli jiný dokument s JavaScriptem, typicky HTML. A není k tomu potřeba ani žádný JavaScript, otevření jiného dokumentu je možné vyjádřit i deklarativně ve značkovacích jazycích, třeba odkaz v HTML nebo SVG, odkaz na rámce v HTML nebo meta refresh v HTML. Dokonce jsou odkazy základem celého HTML (to „H“ je „hypertext“ nebo-li právě ty odkazy) a webu.

(pokud není v tom prohlížeči vážná chyba)

Coz casto je. A obrazek se po Fejsbuuku posila mnohem snaze, nez kus html.

Asi ne, pokud neni SVG interaktivni, coz byt muze. Ale asi to nepodporuji vsechny browsery, priklad z Wikipedie mi nechodi. https://upload.wikimedia.org/wikipedia/commons/9/9b/SMIL_missile_demo.svg

Facebook už nasadil genitální řešení. Zkusil poslat přez fb chat běžné nezavirované svg, neprošlo to, hned potommě odhlásil a po přihlášení buzeroval s tím že mám zavirovaný počítač.

Já bych šel dál, zakázal bych posílat cokoliv a třeba bych zakázal i FB a bude klid :D