19:31
28/5/2014

Wielu czytelników przesyła nam informację o nowym wirusie grasującym po Facebooku. Metoda ataku nie jest zbyt oryginalna i mocno przypomina złośliwe linki, jakie były rok temu rozsyłane przez Skype.

Na czym polega atak?

Od naszego znajomego na Facebooku otrzymujemy wiadomość z załącznikiem, którego nazwy to m.in. “Pictr_357.Zip“, “Copy_0027.Zip“, “Image0905.Zip“. Załącznikowi towarzyszy opis — bardzo często jest to “hahaha“.

fot. XsomX

fot. XsomX

Po rozpakowaniu, jak informuje nas kolejny z czytelników o pseudonimie “Kwas”, na dysku pojawia się plik jar, który — jeśli zostanie “kliknięty” przez użytkownika Windows, pobierze z internetu złośliwy kod i zainfekuje komputer.

Już nie okup, a kopanie bitcoinów

Półtora roku temu atakujący użytowników Skype’a przestępcy infekowali ofiary oprogramowaniem typu ransomware (szyfrowało dane użytkownika i wymagało przelania 200 dolarów za ich rozszyfrowanie — biedni byli ci, którzy nie robili backupów ważnych danych).

Obecny atak na użytkowników Facebooka infekuje ich tzw. koparką Bitcoinów. Moc obliczeniowa przejętych maszyn wykorzystywana jest do wydobywania wirtualnej waluty, z której sprzedaży profity czerpie autor złośliwego oprogramowania.

W pliku jar znajduje się jedna klasa, która woła takie rzeczy jak:
java/net/URI.create
java/nio/file/Paths.get
java/nio/file/Files.copy
java/net/HttpURLConnection.connect

Atak dotknął nie tylko Polaków — zagraniczna wersja ze słowem “lol” zamiast “haha” również krąży po internecie:

fot. SecArmour

fot. SecArmour

Co ciekawe, podobny atak dotyka użytkowników Windows Phone 8 — jeden z czytelników informuje:

Windows Phone 8 rozsyla wiadomosci do osob z listy kontaktow […] moj telefon dzisiaj powysylal kilkanascie wiadomosci o tytule: photo albo Re: photo, a w tresci: Hi! Your photo? [rozne linki]/DSC02922.JPG
Na szczescie Microsoft szybko zablokowal konto mailowe zeby telefon nie rozsylal smieci.

Rozpakowałem zipa i kliknąłem w jara, co robić, jak żyć?

Jeśli otrzymałeś podobną wiadomość od swojego znajomego na Facebooku, i co gorsza kliknąłeś w załącznik — jak najszybciej wykonaj skan swojego komputera oprogramowaniem antywirusowym. Daj również znać znajomemu z Facebooka, który (co warto podkreślić, nieświadomie) podesłał Ci tę wiadomość, że również jest zainfekowany. Aha, Ty najprawdopodobniej też już rozesłałeś tę wiadomość swoim znajomym na Facebooku. Warto wysłać im kolejną, mówiącą aby nie otwierali załączników z poprzedniej wiadomości od Ciebie… A na końcu zjeść całą cytrynę, za karę, że ciągle macie zainstalowaną Javę (nawet jeśli jej nie potrzebujecie).

PS. Dziękujemy czytelnikom, którzy poinformowali nas o tym ataku. Jeśli i wy widzieliście tego typu wiadomości — wpiszcie w komentarzach treść komunikatu i nazwę załącznika — link do VirusTotala też się przyda ;)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

128 komentarzy

Dodaj komentarz
  1. Jakby tu powiedzieć… Tytuł artykułu co najmniej nieprofesjonalny.

    • hahaha :)

    • Uzasadnij swoją wypowiedź, bo na razie jest bardziej nieprofesjonalna od tytułu. Nic z niej nie wynika. Też mogę napisać “masz złe buty”, ale jak nie powiem dlaczego, to nigdy się nie dowiesz kiedy będą dobre i zawsze będziesz w błędzie.

  2. [quote]

    http://dl.dropboxusercontent.com/s/xnf57eni8dpd547/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/nwju1443do0kkyw/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/q7qn5enz2han406/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/jklutosvow2sa28/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/nl51ieactma87q0/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/mxflfforve2ju65/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/pf5yxvq1wmjcun2/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/u0kesauq5zs7via/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/999zzu9uopc3d4l/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/h4mausprax5uuq5/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/qr3v6ry67ytqmia/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/esdqhcldb15bvoj/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/b97m1r5czpbp3kl/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/4vpopyvfajnk5n6/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/eezi0yslr3p2i3c/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/lm87mqi4vhqzpzo/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/2tnedia8wtgg4ge/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/evwad7hka3m7rqs/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/r7lrmz50grpcq67/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/9my6b6qiq55qbec/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/n64sjsgn1u6pj4t/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/m0yzhv0t9c000jm/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/fnfipeglmukffva/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/a8qbye3rgz3dtv3/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/n67txrkbirzexl8/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/zfp10kx496fuzb6/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/k6b6ean08gc4b5t/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/dfpsb98gqwhacg7/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/pe445jolibi2kgp/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/p0yrl882nzefi0k/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/ko0ci4hl6hmf1t9/folder.zip?dl=1
    http://dl.dropboxusercontent.com/s/xnf57eni8dpd547/folder.zip?dl=1
    [/quote] Linki do zipów które pobiera jar z wiadomości.
    A tutaj jeden z jarów po małej przeróbce żeby te linki dostać http://ideone.com/avmODf

  3. Dostałem od kumpla .zip o nazwie copy00594 (w środku znajduje się plik o tej samej nazwie).

    VirusTotal: https://www.virustotal.com/pl/file/24753476bd9516c8be376afaa33a4cd8c8582ec9bc5373f2eea6ff0268dd3498/analysis/1401299582/

  4. Dropbox szybko zareagował na informację, i pliki nie są już dostępne. Sprawdzałem 3 pliki – photo-0966.zip, photo-0335.zip i icon-0447.zip, wszystkie wskazywały na takie same adresy jak w poście wyżej.

  5. Przed chwilą od kumpla dostałem :) Treść “Hahaha” więc standardowa przy zipie:D

    nazwa co prawda “Model0021.zip” ale i tak lepiej uważać:)

  6. @SuperTux
    Niby czemu nazwa jest nieprofesjonalna?
    “Hahaha wirus” to po prostu nazwa tego wirusa.
    Równie dobrze można by go nazwać np. “fb.msg.hahaha-zip”.
    Te pierwsze dwa wyrazy nie są prześmiewcze.

    • 1. Jest coś takiego linkiem “Reply” zwane, jak to klikniesz to odpowiedź pojawi się tam gdzie powinna
      2. Nie chodzi o to czy to nazwa, czy nie, chodzi o to jak to wygląda. “Wirus wysyłający wiadomości z tekstem ‘hahaha’ – nie otwierajcie załączników” byłby bardziej profesjonalnym tytułem.

    • @SuperTux „Jest coś takiego linkiem “Reply” zwane”
      Nie w wersji mobilnej :D

    • Nawet jeśli wirus nazwać “Hahaha”, to po polsku w tytule powinno być “Wirus Hahaha na Facebooku…”. Odwrotny szyk to kalka z angielskiego.

      Czepiam się. Dla bloga technicznego mało istotny błąd.

    • Jaki błąd Panowie? Jaki nieprofesjonalizm?
      Niebezpiecznik po prostu podszedł lekko z humorem, a Wy nie załapaliście joke’a.

  7. Jeszcze jest jedna nazwa pliku, którą osobiście dostałem od znajomego “Icon_0593.ZIP”. Warto zaktualizować. http://prntscr.com/3ng1d4

  8. Złośliwe pytanie o “zło javy”. W tym przypadku winna Java czy głupota użytkowników?

    • java jest zawsze winna :D

    • A co Java ma poradzić na to, że użytkownik uruchomił program?

      Pretensję możesz mieć co najwyżej do Microsoftu, że przyzwyczaił użytkowników do odpalania programów dwuklikiem z pulpitu, przez co Sun (a teraz Oracle) musi pod Windowsem domyślnie powiązywać JARy z `java -jar`, bo inaczej będzie “się mi popsuło” ;).

    • @mpan, można użyć javaw jak nie chcesz by użytkownik wpisywał coś z konsoli.

    • “Zlo javy” to triumf M$ :)
      pozbyl sie Suna (posrednio), teraz powoli zabija jave i niedlugo przyzwoite rozwiazanie, ktore moglo mu zaszkodzic odejdzie w niepamiec :D
      Szkoda tylko ze nic z tego nie bedzie bo wyrosly nowe androidy itp.

      A powaznie: tez nie do konca rozumiem nagonke i te opinie krytyczne, uzywam i javy i .net i falsha. Sila rzeczy .net tylko na windows (jakos nie mialem nigdy potrzeby instalowac mono zeby cos na tym uruchomic lub stworzyc), jave mam i na windows i na lunuxie, a wtyczki flash tez na obu. Wszystkie dzialaja. Wirusow jeszcze z nich nie mialem :)
      Programy wole robic pod jave, ale czasem sensowniej zachowuje sie java, czasem .net.
      A naprawde nie rozumiem juz ‘porady’: “masz jave to sam sobie jestes winien” (ani tego samego w wersji flash).

    • @pepe:
      Też nie rozumiem, szczególnie ze strony Niebezpiecznika. Rozumiem, że czasami można ponabijać się w gronie znajomych z niektórych produktów, ale po oficjalnym wpisie spodziewałbym się trochę więcej profesjonalizmu. Atak ma tyle wspólnego z Javą, że napisano w niej część kodu, a treść newsa sugeruje, jakoby był to błąd w Oracle JVM (bo ślepo zakładam, że “Java” to był skrót myślowy) i w ogóle jest to zuo wszelakie.

      Niemniej porównanie Javy i Flasha jest pomyłką. Flash od Adobe jest zamkniętym oprogramowaniem, co uniemożliwia nawet sensowną reakcję na zagrożenie, nie mówiąc o jego wykryciu przed nastąpieniem ataku.

    • “winna Java czy głupota użytkowników?”
      winny facebook ;D

  9. […] Niebezpiecznik poinformował o nowym wirusie, który grasuje na Facebooku. Rozprzestrzenia się on przez Facebooka, wysyłając […]

  10. Podobny plik też jakiś czas temu dostałem, wrzuciłem do analizy na inną stronkę, która akurat nic nie znalazła. Chciałem też odpalić testowo na VirtualBoxie, ale FB był szybszy i zablokował ten plik

    https://malwr.com/analysis/YjQ0ZDcxYjk4ODhkNGYzMWFmZjdjOWIyYWU1OTI1NGM/

  11. To mówicie, że nawet jak to jest jar to Linuks czy Mac może spać spokojnie ?
    Java tak bardzo przenośna :P

    • A ile znasz środowisk graficznych pod pingwiny, które w domyślnej konfiguracji mają odpalanie odpalanie JARa dwuklikiem i pod którymi działa miner btc skompilowany pod Windowsa?

    • w tych linuksach to nigdy nic nie działa :|

    • Ile znasz ludzi na pingwinach, którzy klikają w co popadnie? :)

  12. Rozpakowałem to to na WP8. Mam się czego bać?

    • Nie, ty już masz Win8 bardziej nie ucierpisz :D

    • Akurat jestem zadowolony. Mam porównanie z Andoridem i iOSem i na WP8 najlepiej mi się działa. Ale wciąż nie wiem czy ten wirus zadziała też na mobilnym systemie. :/

    • To jest nie możliwe, bo: WP8 nie ma Javy (chociażby ze względów licencyjnych), procesy w WP8 są uruchamiane w izolowanym środowisku…

    • Dzięki.

  13. A ja ściągnałem rozpakowałem i zdekompilowałem. Nie mogę z tego że wirus wymaga javy. Przynajmniej wieloplatformowy ;)

    • Prawie multiplatformowy, bo na iOS nie ma javy :)

    • Jak zjailbreakujesz, to jest – w Cydii jest JRE oparte o OpenJDK.

  14. Nowy załącznik sprzed chwili: Model0188.Zip. Ale to o bardzo różnej treści przychodzą, dostałem takich już wiele, wiele i bardzo dużo osób się na to nabiera nadal niestety ;/ ciężko ludzi wyedukować z tego.

  15. Jak się tego cholerstwa pozbyć? gadać jak ktoś wie

    • Z tego, co czytałem na innej stronce, to to draństwo ściągało pliki do c:\temp. Spróbuj opróżnić ten folder (wcześniej może być wymagane zabicie ewentualnego procesu…)

  16. Wg mnie istnieje dużo prostszy sposób na zabezpieczenie się przed tym, i wieloma innymi problemami: http://imgur.com/3RrwY66 ;)

    • Ale jak wtedy będę grał w Minecrafta?

  17. Tak jeszcze fajnie by było gdyby w razie jej braku, prosił o zainstalowanie ;)

  18. Okej, jestem głupia i rozpakowałam (chociaż przez chwilę miałam wątpliwość, ale była to wiadomość od przyjaciółki, więc zaryzykowałam), ech. Pomocy? :) skanuję się, ale może jeszcze coś poza tym? może jakoś ręcznie coś usunąć?

  19. hahaha
    Model0842.Zip

  20. Mimo, że robak używa Javy, to nie jest wieloplatformowy. Wynika to z tego, że linki do Dropboxa zawierają w środku DLLe, których na czymkolwiek innym niż Windowsie się nie uruchomi. :) Sama aplikacja dżawowska woła też bezpośrednio “regsvr32”, co powinno tym bardziej potwierdzić jej nie-wieloplatformowość.

  21. Czy ktoś wie, jak usunąć ten wirus? Proszę o odpowiedź. W pobieranych nawet nie ma śladu,że coś było ściągnięte, więc nawet nie wiem, czego mam szukać…

    • Wyczyść folder C:\temp i przeskanuj kompa ;)

    • Jeśli otworzyłaś go niedawno, to raczej nic nie powinno się stać, bo Dropbox już zablokował te pliki :)

    • Niestety wydaje mi się,że otworzyłam go o 17, choć Ad-block wszytko zablokował, że nawet nie wiem, czy mam tego wirusa, czy nie :(

    • Wejdz w Menedżer Zadań, i znajdź tam proces który zużywa 100% CPU (bo to chyba jedyne co robią minery bitcoinów :). Jeśli nic takiego tam nie ma, możesz spać spokojnie :D

    • Dzięki! Chyba jednak nic się niestało, bo nie zauważyłam żadnych zmian na komputerze, a CPU mam 1%, więc , chyba adblock zablokował to cholerstwo i się nie ściągneło :)

    • * nie stało

  22. U mojego znajomego:
    treść: “hahaha”
    nazwa pliku: “Icon_0631.Zip”
    NOD32 już wykrywa: https://www.virustotal.com/pl/file/29c85e0d019a54544c2a899f1596af20662773f606ee1eb7c478123d5d5dfd07/analysis/1401304667/

  23. a co jak ktos to pobral, rozpakowal, chcial otworzyc, ale sie nie udalo otworzyc bo nie ma programu na kompie, ktory by to otworzyl? po rozpakowaniu pojawilo sie jakby drugie archiwum a potem plik o dziwnym rozszerzeniu .class, usunelam cholerstwo z kompa, przeskanowalam antywirusem i nic nie wykazalo, nie narobilo mi to balaganu?

    • Niech zgadnę, plik otworzył się WinRARem czy podobnym programem :) Jeśli tak, nic się nie stało, jeśli jednak po otworzeniu nic się nie wyświetliło, a plik miał ikonkę Javy — wtedy możesz mieć problem.

  24. Co to oznacza? Ja otworzyłem go ok. 21

    • O 21 pliki były już zablokowane.

  25. Spybot ładnie sobie z nim radzi, jak ktoś się załapał.

  26. […] O problemie pisze już niebezpiecznik: „Hahaha wirus na Facebooku — nie otwierajcie załączników ZIP z wiadomości od znajomych&#… […]

  27. Działanie programu:
    ———————————————–
    create new dir “C:\Temp\”
    create new file “C:\Temp\TIWIWSLN.ADZ”

    if file “C:\Temp\TIWIWSLN.ADZ” exists
    –> 15x run: regsvr32 /s C:\Temp\TIWIWSLN.ADZ

    if file “C:\Temp\TIWIWSLN.ADZ” not exist
    –> connect to URL: [dropbox]/s/xnf57eni8dpd547/folder.zip?dl=1
    –> if connect response code == 200
    —-> copy file from [dropbox]/s/xnf57eni8dpd547/folder.zip?dl=1 to C:\Temp\TIWIWSLN.ADZ
    —-> 15x run: regsvr32 /s C:\Temp\TIWIWSLN.ADZ
    –> repeat for: nwju1443do0kkyw, q7qn5enz2han406, jklutosvow2sa28, nl51ieactma87q0, mxflfforve2ju65, pf5yxvq1wmjcun2, …
    ———————————————–

    Nie dochodziłem już co dokładnie robi dll-ka, którą rejestruje. Jakby ktoś był ciekaw to mogę podesłać. Linki dropboxa są generowane dynamicznie i zmieniają się pomiędzy paczkami.

  28. Już 3 tygodnie temu pojawiło się coś podobnego ;) http://www.reddit.com/r/java/comments/252lbe/facebook_malware_jar_file_but_what_does_it/

  29. Jeśli otworzyłam ZIP’a i nie otwierałam javy (bez, której nie działa mi xp’ek) i nie zauważyłam rozesłanych wiadomości to dobrze czy muszę czekać by zobaczyć czy wirus zacznie działać? COMODO mi nie wykryło wirusa ale to już po usunięciu Zipa z komputera bo po jarze w środku domyśliłam się, że to wirus (wiem jestem głupia nie skapłam sie od razu -,-)

    • Wirus pobiera się po otworzeniu JARa, aktualnie pliki które pobierał zostały zablokowane więc do czasu, aż autor go zaktualizuje, nie robi on nic.

  30. Witam, kliknalem w ten plik wypakowalem to ale nic z wypakowania nie kliknalem ani nie wlaczylem bo nie mam javy xD cos mi grozi? scan AVG w toku :)

  31. model0593
    POLECAM adwcleaner :)

  32. U mnie nic nie pokazalo jak przeskanowalem plik

  33. Jakieś konkretny odnośnie tego wirusa na WP8? Raczej jest to malo wykonalne żeby to działało w ten sposób co opisano.

    • Raczej obstawiam włamanie się na konto i powiązanie po prostu z tym tematem. Chyba, że ktoś ma kopię tego wirusa dla WP8, chętnie zanalizuję.

  34. To co mam tego wira czy nie?

  35. cześć. Dziś znajoma na fejsbuku wyslaa mi photo0780zip. niestety dalam sie nabrac i rozpakowalam to nastepnie kliknelam, kiedy nie przynioslo to żadnych rezultatów powiedziała mi że to wirus. w panice usunełam to zdjęcie, plik zip i robie pełen skan kompa. wiadomość rozesłana ze to jest wir. proszę w skrócie powiedzieć mi jakie konsekwencje będą tego że jednak w to kliknełam.. :((

    • Teraz juz chyba zadnych, bo dropbox zablokowal pliki, a jak narazie skan kompa nic nie da bo antywirusy nie wykrywaja, to co na razie mozesz zrobic to usunac folder c:/temp

    • Szlaban na piłkę na miecha za ściąganie badziewia na lapka…

  36. moja dekompilacja i mała deobfuskacja: http://pastebin.com/h4hsM5wC
    info po moich znajomych na fejsie poszło koło 17:00, namierzyłem znajomego który wysłał. …i kilkoro, którzy kliknęli…

  37. jak ktoś kliknął i wszystkie pliki się pobiorą… to komp będzie mulił (CPU 100% lub/i GPU 100%)

  38. U mnie “Portrt586.Zip” treść “hahaha”, dostałam od przyjaciela. Porałam, ale usunęłam zanim otworzyłam, więc raczej wirus nie został aktywowany (mam nadzieję, to był komputer w pracy :P ).

  39. Nie wiem jak wam, ale wiem, że to coś dobrało mi się od explorer.exe kiedys miałem jeden 2 procesy tego typu. a teraz mam 7 z czego 6 jest z dopiskiem *32. Jak uważacie to wina tego syfu?

  40. Ja uruchomiłem wirusa z treścią ‘lol’ i po sprawdzeniu Hijackiem okazuje się, że dodaje do autostartu wpis ‘AAAAAAAA’, po usunięciu wpisu i restarcie jest po kłopocie.

  41. “…ciągle macie zainstalowaną Javę (nawet jeśli jej nie potrzebujecie)” – czy to znaczy, że nawet, jeśli jej potrzebuję, mogę jej nie mieć? Jakaś alternatywa?

    Chesstempo wymaga Javy na przykład – czy mogę korzystać z tej strony bez instalowania Javy?

    • Nic nie musisz odinstalowywać. Aż smutne, że Niebezpiecznik takiego babola zasadził – a wyglądają na poważnych ludzi.

      Proponuję też odinstalować Pythona, bo ktoś użył skryptu w Pythonie w swoim robaku. I zablokować batche, bo przecież niejeden scriptkiddie pisze w nim swoje wprawki. A najlepiej to w ogóle wyrzuć od razu cały komputer, bo przecież bez komputera malware się nie uruchomi ;).

  42. To dobrze, że korzystam z linuxa

  43. U mnie była taka akcja na fb jakoś miesiąc temu. Z mojego konta plik “wysyłał się” do znajomych z nazwą img/picXXX.jpg z komentarzem “lol”. Antywirus (Immunet) nie wykrył nic, avast też, dopiero użycie anti-malware w trybie awaryjnym dało rezultat.

  44. A problem dotyczy tylko Windowsa, czy na Androidzie też coś może się podziać?

    • Co jeszcze raz pokazuje, ze antywirusy są świetne jeśli chodzi o znane zagrożenia ;)

  45. To już jest druga edycja tego wirusa, pierwsza zmieniała komputery w zombie. Dekompilowałem i proces wyglądał następująco:
    1. 2klik w jar…
    2. połączenie się z kontem dropbox, i ściągnięcie dll
    3. rejestracja dll
    Z otwartych portów i zmodyfikowanych usług wychodziło na to, że użytkownicy, którzy zostali zainfekowani otrzymywali pięknego backdoora (to już dll’ka nie jar).

  46. Ciekawe, że kopią BitCoina zamiast jakiejś waluty bardziej przyjaznej PC-tom, np. LiteCoin.

  47. […] w linki przez nas wysyłane – uchronimy ich tym samym przed podobną sytuacją. Źródło: Niebezpiecznik.pl ‹ […]

  48. Kolejny dowód na to, że facebook to zło. Dlaczego po prostu nie zamkniecie swoich kont?

    • trojan atakuje tylko Windows
      wiec czemu go jeszcze używasz?

    • Fakt, to Facebook winny, nie debilizm większości jego użytkowników ;)

  49. […] jako pierwszy w Polsce problem wirusa Haha lub LOL podnosi serwis Niebezpiecznik. Informuje on o wirusie przekazywanym jako załącznik ZIP. Po rozpakowaniu archiwum widzimy […]

  50. Jeszcze taka nazwa grasuje po fb: Orig_0299.Zip

  51. To jeszcze raz ja. Czy sformatowanie komputera pomoże, że ten ktoś kto te bitcoiny na mnie “bije” przestanie mieć taką możliwość ??

  52. Image0175.zip malwarebytes pomógł usunąć to gówno

  53. linuxa nie dotyczy pobrałem przypadkowo i nie mogę nawet otworzyć ;D

    • Ej weź się tym podziel jak jeszcze masz
      kubawitomipl

  54. Laik jestem zupełny. Jadę na Ubuntu więc mam na to wyjechane?

  55. Ale najlepsza na to jest reakacja fb, nie mozna teraz nawet zalaczyc w wiadomosci glupiego .odt bo wywala, ze jest zainfekowany(przynajmniej wczoraj tak bylo)…

  56. Zepsuliście mi zabawę. Chciałem zobaczyć na vm jak to działa. W moim wypadku plik nazywa się Orig_0222.zip

  57. Pobrałem haha 28.05.2014 ok. 20.31 rozpakowałem. usunąłem plik teraz sprawdziłem AVG i malwarebytes i nic nie wyskakuje.

    Co mam jeszcze zrobić?
    Czy już nie mam tego wirusa?

  58. Hahaha.

    Nie mam znajomych na facebooku.

  59. Cytryne to chyba za głupotę bo równie dobrze można exe uruchomić…

  60. Bardzo rzadko wchodzę na Facebooka (raz na 4 dni) ale z ciekawości zajrzałem, żeby sprawdzić czy ktoś mi takiej wiadomości nie wysłał. Nawet się nie zdziwiłem gdy zobaczyłem zainfekowaną wiadomość od braciszka :)

  61. Dostałem wczoraj, ale jestem świadomym użytkownikiem i od razu się domyśliłem. Ściągnąłem to w wirtualnej maszynie i wysłałem do laboratorium ArcaBit. Nie czekałem nawet na odpowiedź bo ją znam.

  62. Wczoraj (o 20:36) od dobrego znajomego dotałem pw na FB:
    hahaha Pic_00868.Zip Ściągnąłem, rozpakowałem (Kasper (bazy danych
    ze stycznia :P) nic się nie pluł), jak zobaczyłem .jar w pliku to
    się skapnąłem ze coś nie gra. Nie odpalałem tego. Dzisiejszy skan
    pliku z virustotal:
    https://www.virustotal.com/pl/file/a853321b4b2df78a3a61f9142a70065b1dab1c2056f29cea6c5a38feb6e53f15/analysis/1401392090/
    Kaspersky, Norton, Panda, Comodo nic nie widzą :/ tylko kilka
    skanerów wykryło Trojan.Java.Downloader.CF Dzisiaj się dowiedziałem
    o tej akcji z atakiem. Procesy u mnie wyglądają na czyste, więc
    chyba samo rozpakowanie nie zrobiło szkód?

  63. Btw. potem ten plik .jar z ciekawości rozpakowałem 7zip’em (hmmm… czy to było głupie??), sa w nim 2 pliki IMG_00017.class i MANIFEST.MF

  64. Moja koleżanka dostała wczoraj taki plik na telefon lumie 1320 jak go usunąć ? da rade przez ustawienia fabryczne ? zakłada ont ylko maszyne do bitcointów czy też sprawdza hasła np do kont jak były wpisywane dziś?

  65. No niestety otworzyłam ten plik. Wyłapał mi to antywirus. Ale czy mój komputer jest zainfekowany? nie wiem. Musze się zalogować na stronę banku…doradżcie czy to grożne w tej chwili? Ania

  66. “Rozpakowałem zipa i kliknąłem w jara, co robić, jak żyć?”
    Rada jest jedna, fill zeros i reinstalka :P

    • Co ty, nowy dysk trzeba kupić :D

  67. Z góry przepraszam za pytanie – ale jestem kompletnym laikiem.
    Niestety, padłem ofiarą tego wirusa. Dośc mocno zamula laptopa.
    McAfee ani Avast go nie wykrył.
    Dopiero Ad-adware go wykrył.
    I teraz pytanie – a jak to usunąć???
    Bo co z tego, ze wiem, że jest, kiedy nie mam pojęcia jak się go pozbyć?
    Widzę raport, wybieram zalecaną opcję “disinfect”, klikam w jedyny dostępny przycisk – “clean” i … wracam do punktu wyjścia. Co dalej?

  68. FB “założył prezerwatywę”: teraz przy wysyłaniu plików ZIP (czy innych też nie sprawdziłem) włącza mechanizm zabezpieczający: wyskakuje okienko z Captchą do przepisania. Dzisiaj doświadczyłem tego pierwszy raz, od razu pomyślałem, że to forma zabezpieczenia przed Hahaha wirusem.
    Czyli tak źle nie jest :)

  69. Nie wiem czy się śmiać czy płakać.. Dostałam haha wiadomość od znajomego i…. no nie umiem jej otworzyć – dobrać się nijak nie mogę do osiągnięcia wnętrza tej paczki, a próbowałam na różne sposoby..

  70. https://www.virustotal.com/pl/file/a853321b4b2df78a3a61f9142a70065b1dab1c2056f29cea6c5a38feb6e53f15/analysis/1401617558/
    Kasper w końcu zareagował, poprawa niewielka, tylko 18 na 53 skanery to wykrywają, zastanawiające jest że Norton nic nie widzi

  71. To ja znalazłem jakąś nietypową wersję tego wirusa. Nazwa: Copy00064.cab
    Wykrywalność 0%
    https://www.virustotal.com/pl/file/0b13c164438b903cbfd125045afbe0e1a2180ecd816056d793d273ba77d25dfc/analysis/1401790979/
    https://malwr.com/analysis/YTExM2Q5YmRjZTdhNDE3Zjg5NGUwMGQxOTQ0MGVlNDU/
    Pytanie: Czy to instaluje coś na fb też, dlatego wysyła wiadomości?

  72. hahaha
    IMAG00425.cab

  73. Jeżeli pobrałem plik ale go nie otwierałem, tylko od razu usunąłem to też mi zainfekuje?

  74. DSCN00238.cab też lata, w środku ma DSCN00238.jar, plik *.jar ma DSCN00011.class.

    Wykrywa go 1/52 antyvirus…

    https://www.virustotal.com/pl/file/45b889cb8bf6e324dfc53d86bbc0c7f16fa55069406cb1e7c27163c22a3cb714/analysis/1401805463/

    Pozdrawiam

  75. Temat: hahaha
    plik: Image0013.cab
    w środku Image0013.jar

  76. Potwierdzam! Tego wirusa widzi tylko F-Secure z pośród wszystkich innych na VirusTotal.
    Link:
    https://www.virustotal.com/pl/file/af6daa08ecedf280e6fa7f7764481eec981a48a47c0c4037b68ee8584ca6b0c9/analysis/1401822012/

  77. hahaha Pictr_010.cab

  78. Też się podzielę. Na jednym z komputerów złapałem to ustrojstwo, a raczej kobieta ma takie coś otworzyła, sic!.
    Owszem, F-Secure (wersja trial) wykrył to, ale nie usunął. Po tym namnożyło się około 600 otwartych procesów explorer.exe.
    Jedynym, w moim przypadku, który wyleczył system był program ComboFix.

    • ComboFix w rękach amatora potrafi narobić więcej szkód niż sam wirus.

  79. Przecież Java sama w sobie zainstalowana na desktopie nie jest niebezpieczna. Niebezpieczne są tylko ewentualnie włączone wtyczki w przeglądarkach (wyłącza się je na Win w Panelu Sterowania, Ustawienia Javy, tam jest opcja globalna).

  80. Nie wiem czemu za karę, cytryna jest smaczna.

  81. hahaha wrlgbw916.z

  82. Ja w to nie kliklam a rozsyla sie z mojego konta link na youtuba z prof , znajomego . a powyzej jest napisane . – Wtf ??? o.O

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: