- Dołączył
- 26 Maj 2010
- Posty
- 13024
- Reakcje/Polubienia
- 43951
Robak na Facebooku błyskawicznie zaraża użytkowników Windowsa
Strona główna Aktualności26.06.2016 21:12BEZPIECZEŃSTWO
Coraz więcej kont polskich użytkowników Facebooka zostaje zainfekowanych przez nowego, pomysłowego robaka, który nie tylko oznacza ofiary poprzez powiadomienie o wspomnieniu w komentarzu, ale też wykorzystując błąd w serwisie fałszuje link tego komentarza. Kto kliknie – i korzysta z Windowsa – może liczyć na różne „atrakcje”, włącznie z zaszyfrowaniem jego plików.
Cyberprzestępcom udało się bowiem podmienić standardową formę adresu URL komentarza w Facebooku. Link prowadzi do domeny Dokumentów Google, gdzie przechowywany jest plik zawierający złośliwy kod JavaScriptu z rozszerzeniem .jse. Jego pobranie i kliknięcie powoduje uruchomienie w środowisku Windows Scripting Host normalnego droppera, który bierze się za pobranie kilkunastu obrazków .jpg.
image
Niestety to nie są obrazki, tylko kolekcja zamaskowanych plików infekujących system i przeglądarkę. Po zainfekowaniu robak natychmiast zaczyna publikować wpisy na tablicy ofiary z linkiem prowadzącym do malware, oznaczać znajomych użytkownika w komentarzach, a także wysyłać znajomym uzłośliwione linki przez czat Facebooka.
Trudno ocenić skalę zarażenia – robak szybko mutuje i zmienia stosowane domeny ze złośliwym kodem. Kilka z nich zostało już zablokowanych przez Google, ale pojawiły się kolejne. Tym razem nie wypowiemy sakramentalnej formułki o regularnym aktualizowaniu Windowsa i antywirusa, bo to nic w tym wypadku nie daje. Większość antywirusów wydaje się póki co nie wykrywać zagrożenia, wśród tych, które sobie radzą, jest Kaspersky i AVG. Na pewno robak zagraża tylko użytkownikom Windowsa – posiadacze Maków, maszyn z Linuksem, czy urządzeń mobilnych z Androidem i iOS-em są bezpieczni.
Jak się więc chronić?
Na szczęście malware nie potrafi uruchomić się samo. Pamiętajcie, by nie klikać w żadne pliki z rozszerzeniem .jse. Jeśli jednak już to przypadkiem zrobiliście, to należy jak najszybciej wyłączyć komputer, uruchomić go z zewnętrznego nośnika z innym systemem, i usunąć z katalogu C:\Users\nazwauzytkownika\AppData następujące pliki: autoit.exe, bg.js, ekl.au3, ff.zip, force.au3, manifest.json, ping.js, ping2.js, run.bat, sabit.au3, up.au3. Jeśli zrobicie to szybko, unikniecie utraty swoich danych, wygląda bowiem na to, że robak szyfruje je, by zażądać okupu.
Kod robaka został już odciemniony. Zainteresowani mogą go obejrzeć tutaj (to bezpieczny link).Zaloguj lub Zarejestruj się aby zobaczyć!
źródło: dobreprogramy.
