21:50
20/11/2016

Uwaga na nowy scam, który rozpowszechnia się poprzez czat na Facebooku. Jego skala wydaje się być spora, gdyż na redakcyjną skrzynkę co chwilę wpływają informację na temat tego “wirusa”. Poniżej opisujemy na czym polega atak i co zrobić, jeśli niestety w fałszywe zdjęcie od znajomego już kliknęliście…

UWAGA! Poniżej prezentujemy tylko 1 ze scenariuszy ataku, bazując na próbkach jakie posiadamy. Docierają do nas jednak informacje, że istnieją także inne warianty ataku, które przejmują kontrolę nad kontami ofiar bez konieczności instalowania im złośliwego rozszerzenia do przeglądarki lub szyfrują dysk twardy! Jeśli ktoś dysponuje taką próbką, prosimy o kontakt.

Aktualizacja: Jeśli otworzyłeś to zdjęcie w systemie Windows, w przeglądarce innej niż Chrome NATYCHMIAST wyłącz komputer i doczytaj ten artykuł z innego urządzenia. Jest bowiem spora szansa na to, że twój dysk twardy jest teraz szyfrowany i jeśli nie masz backupów, będziesz musiał zapłacić przestępcom za jego odszyfrowanie!

Na czym polega atak?

W trakcie rozmowy na Messengerze możecie otrzymać od znajomego takie “zdjęcie”:

Fałszywe zdjęcie, które powoduje infekcję komputera złośliwym rozszerzeniem, fot. Czytelnik Wit

Fałszywe zdjęcie, które powoduje infekcję komputera złośliwym rozszerzeniem, fot. Czytelnik Wit

Wszystkie przesyłane przez robaka złośliwe pliki póki co zawsze mają następującą postać nazwy: photo_XXXX.svg, sugerując tym samym, że są zdjęciem. Niestety, jest to plik .svg, który po pobraniu i uruchomieniu w przeglądarce ofiary uruchamia następujący skrypt:

Kod złośliwego pliku SVG rozsyłanego przez czat na Facebooku

Kod złośliwego pliku SVG rozsyłanego przez czat na Facebooku

Wynikiem działania skryptu jest przekierowanie ofiary najpierw na adres hxxp://govahoyuge.itup.pw/php/trust.php, a potem na losowe subdomeny wedle poniższego formatu:

hxxp://ecadutaro.yadozalamom.pw/oseboma.html
hxxp://mitobeb.yadozalamom.pw/fineboz.html
hxxp://ibaveh.yadozalamom.pw/urisur.html

Pod nimi kryje się fałszywa strona podszywająca się pod YouTube, która informuje ofiarę, że do zobaczenia filmu potrzebny jest odpowiedni “kodek video”:

facebook-scam-youtube

…i uczynnie podstawia do pobrania złośliwy dodatek do przeglądarki. Dla przeglądarki Chrome jest to:

hxxps://chrome.google.com/webstore/detail/ubo/jegjfinhocnmomhpgmnbjambmgbifjbg/

Złośliwy dodatek do przeglądarki

Złośliwy dodatek do przeglądarki

Dodatek, jak widać, zyskuje pełne uprawnienia do wszystkich otwieranych w przeglądarce stron i odpowiada za dalszą propagację ataku z kont ofiary, ale także wykradanie danych.

win-sbox-mlwr-anal

Niektóre z ofiar widzą, że ktoś przejmuje ich konto i aby “odciąć ofiarę”, ustawia na nim swój telefon komórkowy, włączając dwuskładnikowe uwierzytelnienie (fot. od jednego z czytelników):

unnamed-2

Kod złośliwego rozszerzenia jeszcze jest przez nas analizowany, ale już teraz możemy przekazać kilka porad.

Otworzyłem zdjęcie — co robić, jak żyć?

Jeśli zainstalowałeś w swojej przeglądarce ten dodatek, nie będziesz w stanie go usunąć bezpośrednio z przeglądarki. Niestety, dodatek zamyka stronę z ustawieniami (starając się nie dopuścić do jego usunięcia). Dlatego dodatek trzeba usunąć ręcznie. Poniżej przykład dotyczący przeglądarki Chrome:

Udaj się do katalogu przeglądarki w systemie:

Windows 7, 8.1, and 10:
C:\Users\\AppData\Local\Google\Chrome\User Data\Default

Mac OS X El Capitan:
Users//Library/Application Support/Google/Chrome/Default

Linux:
/home//.config/google-chrome/default

A potem WYŁĄCZ przeglądarkę i dopiero wtedy przejdź do katalogu “Extensions” oraz usuń katalog o nazwie “jegjfinhocnmomhpgmnbjambmgbifjbg“. Zweryfikuj też, czy ten katalog nie znajduje się również w profilu innym niż domyślny (pojawia się, jeśli w Chrome jest wielu użytkowników).

Dobrym pomysłem będzie unieważnić aktywne sesje do wszystkich serwisów internetowych, w jakich byłeś zalogowany w przeglądarce (wyloguj się z każdego z nich) i dmuchając na zimne — zmień do nich hasła.

Aktualizacja: Jak informują inni badacze, jeśli otworzyłeś to zdjęcie w systemie Windows, w przeglądarce innej niż Chrome NATYCHMIAST wyłącz komputer i doczytaj ten artykuł z innego urządzenia. Jest bowiem spora szansa na to, że twój dysk twardy jest teraz szyfrowany i jeśli nie masz backupów, będziesz musiał zapłacić przestępcom za jego odszyfrowanie!

Na koniec, ostrzeż też swoich znajomych, przekazując im link do tego artykułu. Możesz nawet nie zdawać sobie sprawy, że w Twoim imieniu robak przesłał im złośliwe “zdjęcia” z Twojego konta.

Jeśli chciałbyś dowiedzieć się jak szybko i efektywnie analizować złośliwe oprogramowanie, które codziennie wpada na skrzynki pracowników w Twojej firmie, zapraszamy na nasze szkolenie z “Analizy Malware’u”, skierowane do administratorów systemów IT. Na grudniowy termin mamy jeszcze kilka wolnych miejsc :)

Dziękujemy czytelnikom, którzy zgłosili nam ww. atak, a zwłaszcza Bazylemu, Karolowi i Witowi

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

253 komentarzy

Dodaj komentarz
  1. Lkiczyłem że jak tylko otwarła się strona to będzie git, a tu po paru godzinach przychodzą maile z paypala, na szczęście przy 40zł zdążyłem go zablokować.
    Co ciekawe żadnego pluginu nie instalowałem, chrome wydaje się czysty.

    • Niestety, nabrałem się. Nie zainstalowałem dodatku i (chwilowo) nie wysyłam żadnego spamu. Otwarłem plik przy pomocy IE, a nie standardowej Opery. Zobaczmy co będzie dalej

    • Taka ciekawostka, adres wysyłki w jednym z zamówień:
      bledi muja
      elez isufi
      peshkopi, albania
      8301
      Albania

  2. wlasnie to dostalem i juz zaczalem gmerac u wujka, a tu news ;)

  3. Jak postępować w momencie otworzenia tego pliku na messengerze w smartfonie, jak się tego pozbyć i nie zarazić innych?

    • Zrób twardy reset. Każdy telefon ma konfigurację by z wyłącznego telefonu włączyć go do biosa i tam robisz mu fabryczny reset. Wtedy na pewno się go pozbedziesz ;)

    • Ja właśnie tą metodą pozbyłem się parę lat temu tego spyware’u (przy okazji naprawy jakiejś awarii telefonu) i więcej go nie zainstalowałem :)

  4. Jeśli otworzyłem tylko to “zdjęcie”, które przekierowało mnie na jakąś stronę ale od razu to wyłączyłem, to nic nie powinno się stać i dopiero po zainstalowaniu dodatku do chorme można się zacząć obawiać?

    • Nie zainstalowałeś dodatku, więc go mieć nie będziesz (nie słyszałem o silent-auto-install).
      A czy nie złapałeś syfów to zależy od tego, czy na tej stronie nie było skryptów/exploitów.

  5. A jeśli otworzyłam okno czatu ale nie kliknęłam zdjęcia? Coś może mi się wkraść?

    • Nie,w tym zagrożeniu, nie mogło to wyzwolić skryptu.

  6. Co jeśli u mnie ten folder nazywa się zupełnie inaczej i jest utworzony dokładnie dzisiaj

    • Tez prosze o informacje, co w takim przypadku. Moja siostra ma dokladnie taki problem. Usunela podejrzany folder, ale po jakims czasie pojawil sie ponownie. Czy moze to byc cos innego? Jak sie upewnic, ze tamten wystepuje tylko pod ta jedna, podana w artykule nazwa? Dzieki.

    • Czy aby na pewno nazwa tego folderu się nie zmieniła? Wpierw odinstalowałam wtyczkę, a wchodząc od strony systemu nie znalazłam takiego katalogu, w takim wypadku udało się odinstalować skrypt, czy nie?

    • Proszę was… to elementarne zasady obsługi komputera. po c:\users\ jest nazwa użytkownika. \appdata np c:\users\ćwok\appdata i dalej to co pisza

  7. kurna. czytacie niebezpiecznik a dajecie sie nabrac na tak prostackie numery. zacznijce subskrybowac wp czy onety. wstyd.

    • Właśnie dlatego czytają :)

    • Spory najazd nieczytelników, przez reshare posta na FB, który rozniósł się, nomen omen, “wirusowo” :-)

    • Jest dokładnie tak jak pisze Piotr. Jak są jakieś takie skuteczne FB wirusy, to wrzucam na walla. I tego posta wyjątkowo dużo mi znajomi szerują

    • Ciekawosc ludzka nie zna granic. Dlatego socjotechnika jest nadal aktualnoscia

  8. a jak ios i android?

    • Tylko komputery z windowsem na Linuxie i Androidzie można śmiało to otwierać
      Czy na maku? tego nie wiem

    • @Janek
      Tak i dlatego jest instrukcja usunięcia na Mac/Unix..

      @Piotr
      weź to usuń bo jeszcze ktoś naprawdę odpali bo przecież Janek mówi że można

    • Znajoma mówi, że jej tel z androidem wyczyściło (prawdopodobnie factory reset), ale telefon muli – możliwe, że wirus robi FR telefonu i instaluje na nim własne oprogramowanie.
      Factory reset wymusza chociażby ponowne podanie wszystkich haseł do używanych serwisów, ale to już tylko moje spekulacje.
      Wnioskuję, że urządzenia z androidem mogą nie być bezpieczne

    • Nie widzialem jeszcze systemu “bezpiecznego” i takiego ktory nie posiadalby zadnej luki bezpieczenstwa.
      Pozdrawiam

  9. SVG uruchamia skrypty. Jak mnie to wk….a, gdy słyszę, że jakiś obrazek albo dokument otwiera strony, uruchamia skrypty, ściąga programy.

    W przypadku zwykłych plików typu tiff, svg, jpg, pdf, ttf każda linijka kodu programu przeglądającego powinna być w komentarzu opatrzona nazwiskiem autora i nazwiskiem managera. W przypadku stwierdzenia “zero-daya” lub funkcji odpalania skryptów w tym fragmencie kodu autora należałoby powiesić, a managerowi dać ostrzeżenie. Po trzecim ostrzeżeniu powiesić managera razem z autorem.

    Ja rozumiem wirusy starej daty, gdy świadomie uruchamiając lewy program wirus od “dystrybutora” robił on syf na dysku.
    No ale żeby się bać obrazka, albo pliku PDF to oznacza tyle, że bezpieczniej jest wyrzucić te wszystkie pieprzone komputery i wrócić do faksów (najwyżej się zapali).

    Programiści już dawno przekroczyli granicę absurdu, gdzie wygoda jest przedkładana ponad ELEMENTARNE aspekty bezpieczeńśtwa. Później wychodzi, że w systemach serwerowych bezpieczne przeglądanie internetu oznacza umożliwia niewiele więcej, niż ściągnięcie samego pliku index.html i pokazanie go niemalże jako source-code…
    Ja wiem, że niektóe “bezpieczniki” widzą pieniądze w ratowaniu “po wydaniu programu” (np. antywirusy, firewalle), ale ten brak bezpieczeństwa out-of-the-box sprawia, że dla świadomych ludzi komputery staną się nie tyle bezużyteczne, co niebezpieczne… A miało być tak pięknie jak w tym kawale o komputerze, który wykona 50% roboty za nas…

    • Sorry, ale jeżeli ktoś instaluje jakieś niby-kodeki, a tak naprawdę dodatki do chrome, to chyba nie powinien używać komputera, to może być niebezpieczne, jeżeli się nie myśli. To tak jak z obsługą nie wiem, karty bankomatowej, trzeba zachować środki ostrożności.

    • Kabała w tym, że SVG ma obsługę skryptów (ES6 bodajże) zaimplementowaną i jest to jak najbardziej poprawne.

    • SVG obsługuje skrypty. Na szybko z Wikipedii: ”
      SVG pozwala na użycie języków skryptowych (np. JavaScript), szablonów stylów (CSS), a także na rozszerzanie funkcjonalności przez dodanie własnych elementów i właściwości przy pomocy standardowych technik XML (przestrzenie nazw). Również w drugą stronę – SVG może być użyty wewnątrz innego dokumentu (aplikacji XML), np. XHTML, MathML.”

    • 1. SVG to nie obrazek.
      2. Jak chciałbyś egzekwować te nakazy podpisywania się? Byłyby tak samo skuteczne dla twórców takich exploitów jak np. zakaz posiadania broni dla terrorystów.
      3. To nie programiści są wygodni, tylko użytkownicy, pod których presją (pośrednio) tworzone jest oprogramowanie, mające być przede wszystkim wygodne.
      4. Komputer z wirusem niczym ci fizycznie nie zagrozi dopóki nie steruje urządzeniami podtrzymującymi życie, siłownikami przenoszącymi ciężary itp. Jeśli ktoś z takiego urządzenia wchodzi na strony pokroju FB, to niech mu w sumie to pudło na głowę wirus zrzuci, świat stanie się bezpieczniejszy i średnia inteligencji się podniesie…

    • Eshelion,
      Wez pod uwage iz SVG i JPG dla kompletnego laika sa podobne. Przeciez to brzmi (fonetycznie) podobnie no i jest tylko roznica dwoch literek.
      Pozdrawiam

    • @Eshelion
      > 1. SVG to nie obrazek.

      “SVG is a […] graphics format” (ze strony https://www.w3.org/Graphics/SVG/) brzmi dla mnie jak format do obrazków. A że wektorowych, to już inna para kaloszy.

    • Ag3ntJ23:
      1. Przez pliki JPG też można wstrzykiwać kod. Odniosłem się do oburzenia autora pierwszego posta, że w SVG są skrypty.
      2. Może sobie brzmieć podobnie, ale jest różne. Jeśli ktoś tego nie widzi, niech ma pretensje do siebie.
      3. Żyjemy w czasach najprostszego dostępu do informacji w historii – ile czasu potrzeba, żeby sprawdzić co to jest svg?
      4. Nie korzystam z kołchozów społecznościowych, ale miałem wrażenie, że fb messenger obrazki wyświetla w oknie rozmowy. Nie zapala żadnej lampki to, że coś podpisane “photo” nie zostało wyświetlone?

    • @Eshelion 2016.11.22 11:47
      1. SVG = Scalable Vector Graphics. Powiedzcie mi, który z tych trzech wyrazów aż tak bardzo sugeruje, że to jest bardziej program niż obrazek?
      2. W ujęciu globalnym przy dzisiejszych standardach niestety niemożliwe.
      3. Jaka presja użytkowników zmusiła programistów do zastosowania kontrowersyjnych rozwiązań telemetrycznych w nowych systemach operacyjnych? Jaka grupa userów notorycznie zmusza devów do stosowania rozwiązań typu 0-day? Którzy użytkownicy żądali wymogu instalacji aplikacji na smartfonach w celu uzyskania dostępu do elementarnych funkcji serwisów internetowych? Kto szuka atencji tak mocno, że wymusił podejście “pokaż domyślnie wszystko wszystkim”?
      Ktoś tutaj chyba pomylił użytkowników z marketingowcami, albo ze swego rodzaju lenistwem działu wsparcia. Albo usilnie przerabiacie mema “panie, kto panu to tak sp…ł” na “pany chciały, to jest sp…one”.
      4. Faktycznie, do ważnych spraw powinien być osobny komputer, najlepiej IBM z dyskietkami 8 cali lub ostatecznie 5 1/4″. Tylko, że pisząc o specyficznych systemach zignorowałeś kompletnie prywatnych użytkowników, którzy stanowią liczbową większość odbiorców oprogramowania. Trudno sobie wyobrazić, żeby prywatny użytkownik miał osobny komputer do Worda, osobny do codziennych przelewów, osobny do odbierania poczty i osobny do społecznościówek.

      @Eshelion 2016.11.24 13:59
      1. I sam przyznałeś, że nawet zwykły obrazek rastrowy nie jest bezpieczny.
      2. SVG!=JPG, ale “graphics” brzmi podobnie do “photographic”.
      3. Za Google Translate: “Scalable Vector Image” = “skalowalna grafika wektorowa”.
      4. Lampki to by się może i zapalały, gdyby systemy były zunifikowane, zawsze sprawne i bez rewolucji w interfejsie co którąś wersję. Zresztą ktoś mógł to dostać jako swoją pierwszą wiadomość z “photo”, a SVG oznacza za Google tylko “skalowalna grafika wektorowa”. Format ten jest opisywany jako “mogę sobie powiększyć ten obrazek i dalej będzie wyraźny” lub “ma CSSy, czyli np. zmieni kolor, jak najadę myszką”.

      @Lukasz032 2016.11.21 16:14
      @Big Dog 2016.11.21 21:42
      I tutaj powinni zrobić jasną granicę, czy to jest jeszcze obrazek, czy już aktywna zawartość.
      Nawet jeśli ktoś dopuścił tutaj JavaScript, to jedyne uprawnienia takiego skryptu powinny dotyczyć rysowania w ramach tego obrazka i prostej komunikacji zwykłymi parametrami ze stroną-rodzicem. Innymi słowy, w najgorszym przypadku taki skrypt w SVG powinien móc CO NAJWYŻEJ narysować jakieś bzdury i zapchać łącze przy wczytywaniu zewnętrznych obrazków składowych do wyświetlenia (nie programów do uruchomienia) .

      Ogólnie widzę tutaj dużo oburzenia na użytkowników i brak jakiejkolwiek refleksji nad kuriozalnością sytuacji. Obrazek, skan, dokument nie powinny mieć możliwości programu wykonywalnego. A jeśli już mają takie możliwości, to powinny być wyraźnie oznaczone, jako aktywna zawartość. Zwalanie winy na użytkownika w stylu “powinien wiedzieć, że ten obrazek to nie obrazek” wskazuje jedynie, że nie tylko z oprogramowaniem jest problem.

      Podsumujmy zagrożenia starej i nowej technologii wymiany dokumentów i obrazów (listy można dowolnie uzupełniać).

      Wybrane zagrożenia przy faksie:
      – może się źle wydrukować i być niewyraźne;
      – może zużyć cały papier,
      – może zużyć element drukujący i jego zasobniki,
      – jeśli model jest podatny, to może się zawiesić, zapalić,
      – ktoś może zablokować linię i nie dopuścić dokumentów do druku,
      – być może da się podsłuchiwać i wydzwaniać na inne numery (koszty).

      Wybrane zagrożenia przy “obrazkach” i “dokumentach”:
      – może zaszyfrować dysk główny (patrz artykuł) i pewnie zewnętrzne też;
      – może dorzucić aplikację do kradzieży pieniędzy z kont (słynna podmiana numeru konta);
      – może dorzucić aplikację do kradzieży haseł, ciastek (idealne do szpiegowania, kradzieży tożsamości lub przejmowania kont) i danych karty kredytowej (może to komuś ułatwić zakupy przez Internet);
      – dosyć często może użyć kamerki internetowej (bardziej widoczne) oraz mikrofonu (podobnie, jak przy faksie);
      – może wysyłać wiadomości w imieniu ofiary;
      – może użyć łączy sieciowych ofiary do dowolnych celów;
      – może wysłać w sieć pliki z dysku lokalnego (np. dokumenty) lub ściągnąć z sieci pliki na dysk (np. trojany, podmienione dokumenty lub nielegalna zawartość);
      – może zużyć papier, element drukujący, zasobniki lub spowodować pożar niektórych drukarek sieciowych (całkiem podobnie, jak przy faksie);
      – może spowodować, że sieć lub terminal ofiary będą bezużyteczne (podobnie, jak przy faksie);
      – przy podatnościach 0-day w sumie może bardzo dużo.

      No i obrazek, który nazywa się “graphics”, ale nie jest samym obrazkiem. Coś chyba za duża ta cena za ten postęp. Do kompletu brakuje już tylko plików TXT ASCII, które bez interakcji użytkownika używają 0-daya na notatniku Windowsa i szyfrują dysk razem z BIOSem komputera…

  10. Zamiast

    C:\Users\\AppData\Local\Google\Chrome\User Data\Default

    Powinno być

    %LOCALAPPDATA%\Google\Chrome\User Data\Default

    ewentualnie

    C:\Users\{username}\AppData\Local\Google\Chrome\User Data\Default

    • Tak, a jeśli ktoś ma wiele profili Chrome, to również może to nie być “Default” tylko np. “Profile 1”.

  11. Witam,
    otworzyłam zdjęcie, ale zaczęło dziwnie mielić to zamknęłam przeglądarkę, to coś próbowało się otworzyć w explorerze, któego nigdy nie używam, czy jeżeli nie instalowałam dodatku o którym mowa, to również powinnam zastosować się do wskazówek powyżej?

    • @małgorzata
      jeśli nie instalowałaś tego dodatku to nie masz się czego obawiać(teorytycznie)

    • @małgorzata
      jeśli nie instalowałaś tego dodatku to nie masz się czego obawiać(teorytycznie)
      najlepiej czy na pewno nie masz żadnych podejrzanych wtyczek do przeglądarki ani tego folderu

  12. Jeszcze lepiej. Mam jeden profil i mam oba katalogi, a właściwym jest własnie “Profile 1”.

  13. Niestety nabrałam się i pobrałam to zdjęcie (używając Opery). Nie zdążyło mnie przekierować na to fałszywe YT, w przeglądarce nic nowego się nie zainstalowało, nie wysłało się do innych znajomych – coś mogło się wydarzyć?

  14. Z pośpiechu ściągnąłem plik i otworzyłem go w Illustratorze…
    w przeglądarce nic mi się nie instalowało (Firefox). Strona jakaś się tylko włączyła ale ją wyłączyłem. Jedyne co to otworzyłem ten plik na komputerze… czy coś mi grozi?

    • Nagroda Darwina.

  15. jak sprawa się ma na Operze?

  16. Otworzyłam w Firefox na Linuksie. Nigdzie mnie nie przekierowało. Jak żyć?

    • Kurczę mam podobnie otworzyłem na wirtualnym Mincie na Firefox i nic :)

    • “Otworzyłam w Firefox na Linuksie. Nigdzie mnie nie przekierowało. Jak żyć?” – Tak jak ja, samemu się przekierować.

    • podobnie Firefox/Ubuntu – nic nie przekierowało, wygląda też, że nie ma objawów

    • @Krzysiek: Zostawia ciasteczka.

    • Tutaj robotę za wirusa zrób sam, czyli zaszyfruj sobie dysk i zapomnij hasło, ewentualnie rm / (wiem, nie zadziała, ale nie jestem z tych co polecają ładowanie telefonów w mikrofali.)

  17. Czy jeśli się otworzyło stronę, ale nic nie pobierało to też jest się czego obawiać?

  18. Kliknąłem w wysłany plik, bez zapisywania go tylko jako otwórz. Poprosił o wybranie programu w którym chcę go otworzyć. W tym momencie nabrałem podejrzeń i nic nie otwierałem. Czy jestem zagrożony?

    • Podbijam pytanie
      Firefox – wyskoczyło okno z opocją bodajże otwórz przy pomocy explorer albo wybierz inny program i zamknąłem.

      Pozatym artykuł jest trochę niejasny
      “Jeśli otworzyłeś to zdjęcie w systemie Windows, w przeglądarce innej niż Chrome NATYCHMIAST wyłącz komputer i doczytaj ten artykuł z innego urządzenia”

      przyczytałem i artykuł traktuje wyłącznie o przeglądarce chrome – więc co trzeba zrobić jeśli to była inna przeglądarka? i co jest rozumiane poprzez otwarcie zdjęcia? kliknięcie w link? czy wyswietlenie jakiegos obrazka? czy jeszcze cos innego?

    • nie

  19. Jesli na smartfonie to otworzylem, nigdzie mnie nie przerzucilo czy moze sie cos stac?

  20. doszło mi to na messengerze, kliknęłam czarne zdjęcie ale nic mi nie wyskoczyło, nie przekierowalo na stronę. Jestem zagrożona?

  21. Witam,

    Co jesli zdjęcie próbowałem otworzyć na androidzie w Messengerze przez miniaturę. Po kliknięciu w miniaturę tylko czarny ekran, jakby miało się coś ładować. Nic wiecej z nim nie robiłem. Czy jest ryzyko ataku??

    Dodam że napisałem do znajomego “co to?” bo coś mi nie grało a w odpowiedzi dostalem ponownie tę pustą miniaturę.

  22. Myśle że dla mniej wtajemniczonych którzy dostali informacje jednym z lepszych sposobów będzie użycie adwCleanera

    • I jego zastosowanie wystarczy, czy nadal trzeba to usuwać ręcznie?

  23. Dzięki za wpis. Dostałem załacznik 5 minut po przeczytaniu artykułu.

  24. A jak jest w przypadku Safari? Kliknęłam, otworzyła się jakaś strona pornopodobna, zamknęłam i co?

  25. Dla ciekawskich – plik po otwarciu ilustratorem to czerwone koło na białym tle :P

    • Atak japońców :) Można się było tego po nich spodziewać. Jak żyć?

  26. Ogólnie używam Mozilli, zainstalowałem coś w Explorerze.
    Sprawdzałem foldery obu tych przeglądarek i żadnych nowych plików tam nie znalazłem. Czy pomoże np. reinstalacja przeglądarek?

  27. Co jeżeli po kliknięciu w zdjęcie, nastąpiło jego zapisanie na dysku, ale od razu je wyrzuciłam nie otwierając go? Czy mogło się coś zainstalować? Bo program antywirusowy nie wykrywa obecności wirusa..

    • Patrycjo, programy antywirusowe już od dawna nie są “wystarczającym” zabezpieczenie, więc to, że nic nie wykrywa, nie znaczy, że nic nie ma. Teraz jedyne choć średnio skuteczne “zabezpieczenie” to regularne aktualizacje, EMET, blockery na malwertising + noscript i zdrowy rozsądek. A i tak można się na coś złapać jak pokazuje ostatnia dzuira w gstreamerze.

  28. A co, jesśli kliknąłem, ale nie pobrałem?

  29. Przetestowane na VirtualBoxie – Adwcleaner nie widzi tego zagrożenia. Nie widzi go też malwarebytes. Infekcji nie zapobiega np. Avast.

    • Odkąd virustotal stał się popularny niemal zero antywirusów wykrywa nowe zagrożenia – twórcy wirusów sami to testują.

  30. Otworzyłam link, ale w MS Edge, a to nie wspiera prawie żadnych dodatków i rozszerzeń, widząc też podejrzaną domenę w ogóle nie próbowałam otworzyć filmiku, ale na samym początku zapisałam niestety plik .svg na dysku. Jestem w jakiś sposób zagrożona? Czego szukać w plikach w przypadku Egde, czy to przeglądarka tak toporna że nic jej nie rusza?

  31. Witam,

    Również kliknęłam to zdjęcie i miałam problem ze zamknięciem tego, ponieważ wyskoczył komunikat, że nie mam zainstalowanego jakiegoś kodeka. Jeśli katalog: C:\Users\Public\Downloads dla systemu Windows 7 jest pusty to nic na pewno się nie zainstalowało?
    I czy antywirus powinien uniemożliwić zainstalowanie tego rozszerzenia?

    Proszę o odpowiedz.

    • Niestety nie :/ Folder, o którym mówisz zawiera jedynie pliki, które przy pobieraniu wyświetlają ci się na pasku pobierania (a ile nie zmieniłaś domyślnej ścieżki dla takich plików + może to nie dotyczyć obrazków). Lepiej będzie jeśli poszukasz zagrożenia w tych folderach jakie wskazuje artykuł lub inni użytkownicy w komentarzach ;)

  32. A jeżeli otworzyłem to w Affinity Photo? jest jakieś zagrożenie?

  33. Dostałem na iPadzie wiadomość messengerem, ale wiedziałem, ze znajoma od której to dostałem w ogóle nie siedzi w grafice wiec zapytałem czy ona to wysłała- okazuje sie ze nie :/safari dla iOS ostrzegł żeby nie otwierać, ale zastanawiam sie jakby wirus działał na iPadzie czy urządzeniach mobilnych

    • To co tobie napisze jest wylacznie moja spekulacja:
      Moze przekierowywac na strone posiadajaca exploit, ktory wykona jaibreak i zainstaluje “ciekawe dodatki”. Niestety, nie sprawdzalem tych moich teorii, wiec niestety, pozostana tylko przypuszczeniem

  34. Pobrałem to zdjęcie ale otworzyłem w notatniku, nie instalowałem dodatków, nic. Mi nie będzie?

  35. Właśnie mi wyskoczyło, w krótkim odstępie od dwóch znajomych. Sćiągnąłem i próbowałem otworzyć – nie nie miałem czym więc zacząłem szukać czym to się otwiera. W online’owej przeglądarce nic nie wyświetliło. Przekierowania na stronę nie było. Puszczam skan defenderem, malwarem, adwarem.

  36. Właśnie pomagałem znajomemu usunąć tego “wirusa” i katalog w którym się znajdował posiadał inną nazwę niż w artykule. Najlepiej patrzeć po dacie i godzinie żeby usunąć odpowiedzi katalog.

  37. Jeśli kliknęłam w to wysłane zdjęcie, zapisało mi link pod postacią jakiegoś skrótu do Explorer’a, gdzie korzystałam z Chrome, ale gdy wyskoczyła propozycja pobrania tego dodatku, o którym jest mowa powyżej, kliknęłam “zakończ”, a nie “pobierz”, to sam ten skrót zagraża w jakiś sposób? Usunęłam go już i wyczyściłam kosz, ale się nie znam. Na komputerze nie mam czegoś takiego jak: “jegjfinhocnmomhpgmnbjambmgbifjbg”.Proszę o pomoc.

  38. Hej,
    Ja rownież “podbijam” pytanie o otwarcie tego na telefonie ? Czy to sie też instaluje przez telefon czy tylko na komputerze ? Nie znam sie na tym totalnie, dziękuje za pomoc z góry.
    Pozdrawiam

  39. Co jeśli pobrałem plik, ale nie otworzyłem go?
    Bardzo proszę o pomoc, dzięki.

  40. Znajomy pisze: Usuwałem już 4x z C:\Users\\AppData\Local\Google\Chrome\User Data\Default i wraca.

  41. Jeśli otworzyłem stronę, ale natychmiast ją wyłączyłem i nie zainstalowałem dodatku, to jestem zagrożony?

  42. Widać że najpierw wchodzi na stronę xx://mourid$com$php$trust$php, która ustawia ciasteczko “trust” i dopiero potem poprawnie otwiera się strona która zachęca do instalacji

    • a jeśli się nie pytał o możliwość instalacji? To też może coś się stać?
      Ja plik otworzyłem w Illustratorze, ale w przeglądarce nic nie instalowałem…

    • W Firefoksie maiałem ciasteczko “yadozalamom.pw”.

  43. A rozwiązanie dla Visty Home Premium 2007 ?? :(

  44. stronka zachęcająca to hXXp://kerman$pw$?fb_dsa

  45. a czy ten wirus oddziałuje jakoś głębiej na przeglądarkę Safari ? bo zmienił mi stronę domową ale nie zauważyłam nic poza tym

  46. otworzyłam w messangerze, w telefonie, pojawiła sie czerwona kropka, nie mam chrome na telefonie, link z konwersacji od razu usunęłam, czy muszę jeszcze cos robić?

  47. A jak sprawdzić czy mi sie zainstalował dodatek. Kliknęłam w zdjecie, ale nie mogłąm otworzyć (przegladarka firefox) więc zamknęłam, ale nie pamiętam dokładnie jaki był komunikat.

  48. Jak kliknalem w plik i go pobrałem ale nie otwierałem go tylko od razu usunąłem to jest szansa, ze jestem zainfekowany?

    • tak samo postąpiłem i sprawdziłem wszystko dosłownie czy zaszło do jakiejś zmiany na kompie jednak niczego nie wykryłem więc sądze że jeśli nie otwarły się nam strony o których pisano wyżej nic nie grozi

  49. I ostatnie, ale to nie jest wasza kolejna podpucha?

    • Oczywiście, setki komentarzy i share’ów to ich zautomatyzowana sprawka. A wszystko po to, by zrobić żart prima aprillisowy ponad 4 miesięce wcześniej.

      Po takich wpisach nie dziwię się, że ludzie klikają w byle co zamiast po prostu spytać czym to byle co jest przed otwarciem.

  50. Witam ponownie,
    wchodziłam w plik Extensions i tam niewiele znalazłam ale poprzez Więcej Narzędzi – odpaliłam Menadzera Zadań (Shift+Esc) i tam miałam to rozszerzenie o nazwie “Lahu” które
    usunęłam do kosza. Chwilowo nie wraca.

  51. A co się stanie jak otworzyłam to na messengerze?

  52. Miał ktoś może coś podobnego i czy mi grozi zainfekowanie gdy pobrałem plik w google chrome a otworzyłem internetem explorer i po otworzeniu ukazała mi się duża czerwona kropka na białym tle? Po otworzeniu nigdzie nie zostałem przekierowany tylko mi się wyświetliła wyżej wymieniona sytuacja.

  53. Otworzyłem wiadomość na iPhone . Zobaczyłem tylko zdjęcie z czerwona kropka i od razu opuściłem messenger. Czy na iPhone może mi wbić wirus ? Jak tak jak sprawdzić czy jest lub się go pozbyć ?

  54. Plik SVG nie jest plikiem foto więc to pierwszy sygnał, że coś jest nie tak. Pliki JPG otwierają się w komunikatorze bez nazwy odnośnika. Wszelkie złośliwe dodatki do przeglądarki u mnie wykrywa norton, radzi sobie z tym bardzo dobrze. nawet jeżeli nie rozpoznaje czegoś jako zagrożenia, informuje i pyta o instalację, bądź usunięcie dodatku. ESET z kolei blokuje adresy URL, które mogą przenosić zagrożenia. Tyle ode mnie. Pozdrawiam.

    • JEstem w kontakcie z ofiarą, której to paskudztwo ominęło ESETa. Zdaje sie być przygotowane w wersjach na Explorera, Chorme’a i coraz bardziej podejrzewam wersje na Androida. Linuksowego Chroma też rusza. Już nie wiem czym to skubać? BSD w virtualce, czy dedykowanym komputerem spisanym na straty?

    • Wczoraj ESET jeszcze nie rozpoznawał zagrożenia. Ja plik ściągnąłem o 2 w nocy, zanim coś z nim zrobiłem przeskanowałem ESET-em, który nic nie znalazł. Kliknąłem na niego i otworzyła mi się w Internet Explorer (nawet nie wiedziałem że pod Win 10 jest jeszcze zainstalowany) wspominana już czerwona kropka. Tyle że wszystko było zakryte komunikatem z przeglądarki że teraz zewnętrzne aplikacje nie będą mogły zmieniać strony domyślnej. Nie mogłem zamknąć przeglądarki, zatem zrestartowałem kompa i właściwie tyle.

      Dziś ESET już rozpoznaje plik jako zagrożenie i nawet nie pozwala go pobrać. Komputer wczoraj i dziś skonwałem już kilka razy i nie wykrywa żadnego zagrożenia. Nic mi się na kompie nie dzieje ale na wszelki wypadek zrobiłem backup plików.

  55. Mnie przekierowywało na hxxp://yinsawe.us/location.php, potem na strony phisningowe Inna wersja pliku .svg

  56. Pobrałem przez Operę, uruchomiło się przez Edge… mignęła czerwona kropka na białym tle i to by było na tyle… nic nie kazało pobierać i nic nie pokazało się do pobierania… Skanuję wszystkim co się da, ale nic nie pokazuje. Jestem bezpieczny? Znajomi nie dostają żadnych wiadomości.

  57. U mnie w Chrome udało się wirusa usunąć poprzez kliknięcie bezpośrednio w przeglądarce w prawym górnym rogu w ikonkę rozszerzenia Ubo (ikonka wygląda jakby była nieaktywna) LEWYM PRZYCISKIEM MYSZY i kliknięciu “usuń z Chrome”. Od tej pory nie było już przesyłania dalej wiadomości znajomym. Po tym oczywiście jeszcze czyszczenie systemu Antywirusem i Malwarebytes Anti-Malware. Pozdrawiam

  58. Mam tego wirusa i co zrobić gdy opisany katalog o nazwie “jegjfinhocnmomhpgmnbjambmgbifjbg“ nie istnieje???

    • Spójrz na daty. Folder ma różne nazwy. Wczoraj czyściłem komputer znajomego z tego wirusa i nazwa katalogu zaczynała się od litery “d”

  59. Czy jeśli otworzyłam to na iPhonie w chrome, pojawiła sie czerwona kropka jak to “zdjęcie” i tyle to czy cos sie stało? Od razu zamknęłam bez przekierowań żadnych i usunęłam z historii czy to znaczy ze nic sie nie stało? Proszę o odpowiedź

  60. Spotkałem się właśnie z przypadkiem, gdzie nazwa katalogu zaczynala się na literę d. Nazwa rozszerzenia też była inna ( zaczynała się chyba na L). Syf co jakiś czas zamykał okno exploratora, więc byłem zmuszony użyć konsoli. Po usunięciu dodatku i oczyszczeniu Adwcleanerem, wszystko wróciło do normy.

  61. Zadaniem pliku SVG jest jedynie otworzenie strony(swoją drogą ogarnia ktoś, co to za szyfrowanie? Chodzi mi konkretnie o ten fragment http://wklej.to/gKBgd

    Ale jak to jest ze strona na którą przekierowują? Mi się to domyślnie SVG otwiera w Internet Explorer, są jeszcze ludzie na starych jego wersjach, które jak wiadomo są dziurawe!

    • Kod jest zaciemniony tutaj nie zaszyfrowany.
      A ten javascript to raczej nie używa luki tylko normalnej implementacji standardu svg.

    • to „tekst” w pętli wydaje się podejrzane – Polak robił?

    • Ja to edytowałem, żeby było bardziej czytelne niż zdasidu. Ja nie mówię o dziurze w SVG, tylko o dziurach w IE… I sam fragment nie dotyczy kodu zaciemnionego, tylko oni to jakoś cwanie zaszyfrowali na podstawie tablic, rany specjaliście od 7 boleści

    • Tak “zaszyfrowany” że wystarczy console.log i dostajesz “odszyfrowane”

  62. Ja odruchowo kliknąłem na to zdjęcie w messangerze w telefonie z Windows Mobile. Jaka rada? Co powinienem zrobić?

    • Przekierował Cię na jakąś stronę? Jeżeli nie, to skrypt się nie uruchomił ;)
      Korzystam z Windows 10 mobile i miniaturka próbowała się sama załadować + klikanie nic nie powodowało, także spokojnie.

  63. UWAGA.
    Pojawil się nowy sposób.
    Wyświetlił się jako załacznik na stronie FB – nazwa Video 61220
    Po kliknięciu próbuje zainstalować te rozszeżenie o jakim pisaliście.

  64. Proszę o info jak to jest obsługiwane na iPhone.
    Wiadomość otwarta w Messengerze, Photo_xxxxx.svg kliknięte, ostrzeżenie “Twoja przeglądarka nie zezwala na zapisywanie załączników…na pewno wyświetlić?” – OK – wyświetliła się czerwona kropka.
    Nie otworzyła się żadna strona, wygląda na to że wszystko dzieje się wewnątrz Messengera.
    Co robić, jak żyć? :)

  65. Sory, ale jeśli ktoś instaluje w ślepo jakieś lewe dodatki do chroma, tylko dlatego, że strona z filmikiem (nawet nie wiadomo, jakim i czy warto) mu kazała, żeby filmik się włączył, to jest debilem i jest sam sobie winny. Wydaje się, że kliknięcie w obrazek poza przekierowaniem na jakąś stronę nie ma tu nic do rzeczy.

  66. Hej, plik wydał się dziewczynie podejrzany, to odpaliłem go na Linux Mint, próbował otworzyć się w GIMPie. Żadnych przekierowań. Wyczyszczenie cookies załatwi sprawę?

  67. A co mam zrobić na MacBooku? Kliknęłam wczoraj,laptop jest nowy nie mogę się jeszcze połapać w nim. Usunęłam ten plik z pobranych wyczyściłem historie i pobrałam jakiś program do zescnanowania i nic nie wyszło.

  68. FF: czy żeby dać sie zainfekować trzeba zainstalować dodatek?
    Jeżeli nie, czy to jest exploit używany w tym SVG jeżeli chodzi o FF?
    https://www.mozilla.org/en-US/security/advisories/mfsa2016-89/#CVE-2016-5296

  69. Dzien dobry, nie otworzylam zdjęcia tylko je pobrałam, zaraz usunełam, nie pokazała się żadna strona z yb ani tez nie instalowałam dodatków, czy pomimo tego mogę mieć wirusa?

  70. Tyle pytań i brak odpowiedzi ;)
    Jeżeli plik został otwarty a rozszerzenie nie zostało zainstalowane to wszystko powinno być ok (przy założeniu że przeglądarka jest aktualna).
    Przesyłany plik nie jest sam w sobie zagrożeniem i ma za zadanie jedynie przekierowanie nas pod dany adres.

  71. Witam. Ja również miałem czerwoną kropkę itp. Tak jak ktoś wyżej miałem zainstalowane jakiś ddatek który nazywał się “UBO” i wyglądał nieaktywnie.. (szare podświetlenie jak na przykład orton Identity safe). Usunąłem to i póki co przestało chyba.. Na windows phonie odebralem to na samym poczatku, ale nigdzie mnie nie kierowało. Zdjęcie wyswietlalo sie jako czarne i nic się dalej nie działo..

    Pozdro!

  72. Próbowałam otworzyć plik na androidzie, ale zdjęcie nigdzie mnie nie odesłało (może problem z zasięgiem), czy w takiej sytuacji mój tel. jest zagrożony atakiem?

  73. Poza tym jak wszedłem w te pliki systemowe to mam tak: C:\Users\\AppData\Local i następnie Microsoft\Windows – jeśli otwieram folder Windows jest o pusty.
    Mam nadzieję, że jakoś pomogłem.

  74. jak to jest na komputerach mac? czy jest się czego obawiać? wyświetliła się kropa w przeglądarce chrome ale dodatku mi nie pobrało.. co dalej jak sprawdzić czy nie mam tego syfu?

  75. Facebook puki co “uporało” się z problemem blokując wszystkie pliki *.svg i blokując automatycznie konto nawet “wykonałem prowokacje” otóż przesłałem plik *.svg z programu Inkscapke i rano dowiedziałem się o blokadzie konta na fb zważywszy na wirusy. Do tego Fsecure podpierdzieliło (skopiowało sobie) sterowniki karty sieciowej (które pobrałem od producenta laptopa) oraz mój projekt na studia tz. analizator adresów ip v4 z kalkulatorem cidr który operował na czystych soketach typu raw i rozsyłał zapytania ICMP w pętli (taka duże pętla pinga)

  76. Moglibyście sprawdzić czy ma to związek z Firefox 50, który parę dni temu właśnie coś takiego załatał: https://www.mozilla.org/en-US/security/advisories/mfsa2016-89/#CVE-2016-5296 Może to jest na bazie tego błędu i może to oznacza, że najnowszy FF jest oK ? Fajnie jak rozpiszecie czy IE, Edge, Opera etc. są podatne.

  77. to ja poprosze o link do tego zdjecia,
    wysle informacje znajomym ktorzy by chcieli miec dowod jak niebezpieczny jest fb czy svg

    jak ktos zna podobny z ps to tez dajcie

  78. Jakim trzeba byc debilem aby otwierac plik z rozszerzeniem svg?….
    Nastepny atak moze bedzie przy pomocy pliku .exe i tez ludzie beda to klikac? lol

    • SVG jest to standard zapisu plików wektorowych (Scalable Vector Graphics). Otwarcie takiego załącznika jako obrazka nie jest niczym dziwnym bo… jest to obrazek. Niestety jest to też obrazek z wbudowaną obsługą skryptów, a format może być otwarty w przeglądarce.

  79. Linux Mint i przeglądarka Quozilla (chyba na silniku SAFARI). Tylko na tym przeglądam Facebooka. Czy jestem mogę się obawiać wiadomości od znajomych?

  80. Co jeśli otworzy się to na Messenger w IOS? Nie otwiera się zdjęcie, nie było przekierowania? O systemach w telefonach nic nie piszecie.

  81. Skanowałem go wczoraj w Virustootal, 0/54 czysty.
    Problem polega na tym, że na VLC go instalowałem… aż się boje..

  82. “to zdjęcie chce mi odtworzyć film a żeby odtworzyć film zainstalować coś, co nie ma opisu nawet po angielsku… biere!”
    tak…

    swoją drogą ciekawe, że syf może sobie nie pozwalać na otwarcie wbudowanej strony w chromie, a zwykłe rozszerzenia wymagają nie dość, że ustawionej odpowiedniej flagi w samym chromie, to jeszcze nie można i tak ich używać na stronach generowanych przez inne rozszerzenia (patrz: gesty myszy na czytniku RSS, no nie działa bo nie, bo tak bezpieczniej…)

  83. witam, odczytałam na Messengerze tego wirusa ale nie zapisywałam nic i nic mi się nie wyświetliło czy jestem zagrożona? (mam androida) pozmieniałam w razie czego hasła i wylogowałam się z wszystkich aplikacji na telefonie gdzie były hasła i się nie loguje na tel nigdzie, a wiadomość na Messengerze wiadomość usunęłam od razu.

  84. Rozumiem, że na iOS kliknięcie wyłącznie w zdjęcie nie wyrządzi szkód, czy tak?

  85. A co z przeglądarka EDGE? Zarówno na komórce jak i komputerze?
    Na komputerze przy otwarciu pliku przekierowany mnie na białą stronę która nie chciała się wczytać i to w zasadzie wszystko… nic nie pobierało sie

  86. Jak sprawa wygląda na MAC OSX i w przegladare SAFARI ?

    Uruchomilem tylko zjecie, nie zdarzylo przekierowac na podrobionego YOUTUBE. Wylaczylem odrazu, usunalem plik. Jak zyc ?

  87. Czy odinstalowanie chroma rozwiąże problem? (niestety otworzyłem to dziadostwo a nie wiedziałem ze antywirus stracił licencje)

  88. Co jeśli nie można znaleźć pliku ? odinstalowałem chrome i rozszerzenia w opcjach działają. Czy samo odinstalowanie mogło pomóc ?

  89. Niestety zainstalowalam ten badziew. Usunelam chrome, z rozszerzen usunelan te ubo. Nie wiem co robic.

  90. Otworzyłem tylko zdjęcie.
    nie zainstalowałem plagin’u, ale co jakiś czas pyta się mnie czy nie chce zainstalować.
    używam mozille. jak to usunąć??

  91. A jeśli otworzyłem plik w Microsoft Edge i nie zaakceptowałem uruchomienia JavaScript?

  92. Jest wiele pytań w komentarzach typu “otworzyłem tylko zdjęcie svg, czy coś mi grozi”. W artykule est akapit “Otworzyłem zdjęcie — co robić, jak żyć?” a później pisze “Jeśli zainstalowałeś w swojej przeglądarce ten dodatek”. Czyli w końcu wystarczy otworzyć zdjęcie aby np dysk zaczął być szyfrowany, czy trzeba zainstalować ten dodatek?

  93. W Mac OS X nie ma folderu . Jest wspólny folder /Library/Application Support/Google/Chrome/ albo u każdego użytkownika jest ~/Library/Application Support/Google/Chrome/Default/

    • Poprawka, nie ma folderu podanego w artykule: Users//Library/Application Support/Google/Chrome/Default

  94. Info z szyfrowaniem dysku potwierdzone?

  95. Uprzedzając wszelkie pytania – jeżeli nie otworzyliście tego pliku na komputerze w przeglądarce Chrome, jesteście bezpieczni. Jest to zwykły atak socjotechniczny, który wykorzystuje niewiedzę i naiwność “wykluczonych cyfrowo” ludzi.

    • > “wykluczonych cyfrowo”
      to dość łagodne określenie

  96. Kliknąłem w “zdjęcie” na telefonie z androidem 6.0.1
    Tylko dlatego że Messenger czasem tak ma że zdjęcia się nie wczytują. Na komputerze widząc nazwę pliku bym się nie nabrał.
    Do rzeczy. Przeskanowałem słuchawkę mobilnym Avastem i Malvarebytes – ponoć czysto. Pobieżnie przejrzałem pliki tymczasowe Messengera i w katalogu download – nie rzuciło mi się nic w oczy.
    Teoretycznie wszystko w porządku, jednak warto zachować ostrożność, sprawdzić czy czasami telefon nam nie kupił jakiejś usługi SMS premium lub nie dorwał się do aplikacji bankowych

  97. Nie wysyłajcie teraz nikomu normalnych plików SVG bo facebook to zablokuje i będzie kazał przeskanować kompa jakimś programikiem blokując logowanie xD

  98. Niebezpieczeństwo niebezpieczeństwem ale… W tym wypadku żeby złapać syf trzeba popełnić wiele wpadek. I to wpadek, które nie powinna popełnić osoba korzystająca z Internetu.

    Podstawowe zasady w tym przypadku to:
    1) nie otwieranie załączników od nieznajomych
    2) ignorowanie treści na stronach niewiadomego pochodzenia
    3) ignorowanie komunikatów o jakichś brakujących wtyczkach, gdy w rzeczywistości wszystko działało (filmy na Youtube, Ipla i innych).
    4) instalowanie nieznanych dodatków

    Do tego wg mnie dojść może korzystanie z kont administratora na co dzień. Jeśli takie coś zrobi się z powodu użytkownika to wg mnie nie zaszyfruje całego kompa. System powinien wstać, a dane można przywrócić z kopii.

    Chyba, że ktoś popełnił 6-ty błąd – brak kopii…

    I co na to te wspaniałe antywirusy? Gdzie Windows Defender?

    • pierwszą wpadką jest używanie chroma
      tak z powodu ograniczeń jak i popularności
      oczywistym jest, że to w niego będą celować
      (co prawda chropera, chromium i vivaldi też mogą oberwać, ale w chroperze tylko nieco bardziej świadomy użytkownik jest wogóle w stanie zainstalować rozszerzenia chroma, a vivaldiego raczej kompletni ignoranci nie używają)
      za to FF i edge całkowicie odporne na ten atak
      i jak mają się do tego testy podatności? sandboksy, wiele warstw izolacji i cholera wie co jeszcze, a wystarczy posadzić idiotę przed kompem i to chrome podda się pierwszy

    • a defender tu nie ma nic do rzeczy, rozszerzenie przeglądarki to nie jego broszka
      jasne, może mieć dodane sygnatury niektórych syfów, ale heurystycznie nie jest w stanie tego ogarnąć żaden AV

    • Można używać nawet IE9 zamiast Chrome i 4 antywirusy, ale jeśli ktoś nie pomyśli zanim coś zrobi, to sobie można to wszystko wsadzić gdzieś.
      Jeśli jakiś program coś ograniczy, np. zablokuje instalację dodatku i użycie go zgodnie z ideą autora, to będzie jazgot, że przeglądarka jest do pleców. Jeśli przeglądarka umożliwi instalację i uruchamianie wszystkiego, to będzie jazgot, że przepuszcza nawet syf. Żadnej grupie się nie dogodzi, a jakie zabezpieczenia by nie wymyślili i tak wcześniej czy później je obejdą.

      Która przeglądarka jest bez grzechu niech pierwsza rzuci BSODem… Dziś Chrome, jutro Safari, pojutrze EDGE i tak w kółko.

      Przez ww. podałem proste zasady, które są jakąś podstawą podstaw dla ludzi, którzy “nie ogarniają internetów”.

    • A co do Defendera, to nie ja mówię że jest zły, tylko MS twierdzi, że jest taki wspaniały.
      Jakby nie patrzeć antywirus to oprogramowanie, które ma chronić przed szkodnikami. Dziś antywirusy to nie tylko banalne skanery.

  99. Pobralem plik, wlaczylem go, ale przed wczytaniem strony wylaczylem ja. O nic mnie nie pytalo, nie mam zainstalowanego rozszerzenia, mam nadzieje ze nic nie rozsylam,bo pytalem paru znajomych i nikt nic ode mnie nie dostal. Ale moje pytanie brzmi, jesli zostalem zainfekowany czy jeśli odlaczylem dosc szybko internet to czy zatrzyma to w jakis sposob przesylanie danych ? Czy jest to zależne tylko od chroma, ktory ma moje dane? I czy odinstalowanie calej przeglądarki w czyms pomaga ?

  100. Nie mogę znaleźć tej lokalizacji do usunięcia folderu. W folderze użytkowników jak i na moim profilu nie ma folderu appdata. Jak go znaleźć w takim razie?

    • AppData ma atrybut ukryty

    • wpisz ścieżkę bezpośrednio do paska w explorerze

  101. Inna “wtyczka”: hxpps://chrome.google.com/webstore/detail/one/olonepdliekllagcdgmlbihgcplinegj
    (dane z http://security.stackexchange.com/a/143145)
    Raportować, ludzie, może szybciej usuną.

  102. Do wykrycia powyższego zagrożenia nie pomogą podstawowe i komercyjne antywirusy.
    Zagrożenie można wykryć za pomocą dostępnych specjalistycznych programów antyszpiegowskich (po 16 podam nazwy). Jest niewygodny w użyciu, ale umożliwia zgrywanie screenów przez trzecie osoby, pobieranie plików i przeglądanie dysku ,,przez siłę wyższą!”.

    • Jest 20 a ty dalej nie podałeś nazwy tych
      “specjalistycznych programów antyszpiegowskich” rodem z matriksa…

  103. Ja osobiście nie klikam w byle co, ale kilkoro znajomych kliknęło, ale już nie instalowało dodatku do przeglądarki. Używają Firefoxa. Fałszywych “zdjęć” nie rozsyłali i nie rozsyłają.

    Pytanie – czy też są zagrożeni szyfrowaniem dysku?

  104. Witam.
    Jak zlokalizować obecność danego wirusa jeżeli zdjęcie zostało otworzone i pobrane w Firefoxie, a następnie po kliknięciu na pobrany plik nastąpiło przekierowanie do EI? I jak tego paskudztwa się pozbawić?
    Proszę o odpowiedź.

    • Masz napisane w artykule

  105. Witam,
    dostałem wiadomość z tym plikiem od znajomego otworzyłem go w messenger w tel. z Win 10 Mobile. Od tego momentu nie mogę pisać wiadomości.
    Odinstalowałem go i po instalacji nie mogę się zalogować, pokazuje się ekran logowania a nie da się wprowadzić loginu i hasła.
    Czy ktoś miał taki problem ?
    Jak z nim sobie poradzić?
    Dzięki za info !

    • Reboot. Problem polega na tym, że biblioteki OSMeta (z którego FB korzysta intensywnie) wieszają się czasami.

  106. U mojej zony katalog nazywał się trochę inaczej na o…. ogolnie w tym folderze jest pełno tych dlugich katalogów:/ czy bankowość jest zagrożona jeśli nie mamy zapisanych haseł i nie logujemy się od czasu kliknięcia w zdjecie?

    • Ja miałem włama na konto paypal (czytaj pierwszy post), a tylko otworzyłem ta stronę, nie instalowałem nic.
      Haseł zapisanych nie miałem, logowalem się ostatnio na niego z miesiąc temu

    • W chrome z tego co widzę wtyczki zapisują się w katalogach z takimi losowymi nazwami. O zagrożeniach bankowości nie było doniesień nie licząc paypala.

    • A jakie paypal ma zabezpieczenia? Bo u nas w banku to nie tylko hasło, ale też kody do przelewów itp.

  107. Powiesiłbym za jaja tego, który pozwala na uruchamianie skryptów w plikach graficznych

  108. Ja również się nabrałem nie wiedząc, że plik grafiki wektorowej SVG może zawierać DZIAŁAJĄCY złośliwy kod.

    Przekierowało mnie na jakąś chyba już pustą stronę, bo nic się nie wyświetliło na niej, ani antywirus nie wszczął alarmu. Mam nadzieję, że nie doszło do infekcji.
    Incydent miał miejsce pod przeglądarką Firefox 50 (64-bit) na Windows 10.

    • Ja dokładnie tak samo, tylko za pomocą IE

    • Pisałem wyżej, że FF coś podobnego załatał w 50tce. Najlepiej jak Niebezpiecznik to potwierdzi. Może właśnie dlatego ta dziura powstała, bo kilka dni temu po załataniu poszły wytyczne co i jak. Będzie ciekawy case.

  109. A może tak wpis w serwerach DNS na routerach u użytkownikach(cały wpis *.pw > blackhole)? (Miktorik potrafi, a myślę że i inne otwarte fw mogą to przyjąć). Taki DNS Blackhole może ustrzec innych użyszkodników przed zarażeniem.

    Niestety OpenDNS nie blokuje jeszcze tych adresów :(

    • Osobiście polecam PiHole który jest sam w sobie serwerem DNS blokującym reklamy przez plik hosts. Dodałem adresy do PiHole i sprawdziłem logi czy te strony nie były wcześniej odwiedzane. Jak na razie spokój.

  110. W moim przypadku jedynie pobrałem plik, nie uruchamiając go, a następnie od razu usunąłem. Mimo, że jestem bezpieczny, bo nie doszło do żadnego przekierowania i infekcji, to i tak te hkeye znajdują się na moim komputerze, dlatego zalecam wszystkim ściągnięcie programu typu malware bytes i zrobienie pełnego skanowania w safe modzie.

  111. A czy wlam mogli zrobić do rutera? Bo nie wiem czy mogę wejść przez moj komputer i zwyczajnie zmienić hasła do banku?

  112. Zgodnie z tym artykułem:

    http://www.bleepingcomputer.com/news/security/facebook-spam-campaign-spreading-nemucod-downloader-and-locky-ransomware/

    Szyfrowaniem dysku może być zagrożony tylko użytkownik, który zainstalował rozszerzenie do Chrome.

  113. a co jeśli wysłało to znajomym ale nie mam takiego pliku w google chrome

  114. Otworzyłem samo okno czatu na telefonie z WP10, ale nie klikałem w link. Coś mogło się stać ?

  115. Witam :)
    Wczoraj miałam taki wirus, od kumpla dostałam parę plików przez Messenger.
    Otworzyłam jeden, ale za chwilę go zamknęłam. Zainstalował się, dzisiaj wszystko usunęłam. Nie wchodziłam w to dalej. Proszę mi napisać czy mogło się coś zainstalować więcej? Co mam zrobić dalej?

  116. Witam, czy odpalając przeglądarke w sandboxie w celu kliknięcia i sprawdzenia działania robaka nie będzie żadnych problemów jak po wszystkim wyczyszcze pliki z sandboxa?

  117. JAKIEŚ NOWE WIEŚCI???!!!
    Wiadomo już co się dzieje przy otwarciu przez Mozilla Firefox??
    Usunęłam wszystkie dane z przeglądarki.
    Teraz boję się włączyć kompa.
    Jak sprawdzić czy zaszyfrowuje mi dysk??

  118. A jak to się dzieje, że otrzymamy taką “wiadomość” od znajomego? Czy to rozsyłają tylko zainfekowane konta? Od kogoś, kto niczego nie otwierał, nie instalował tego nie dostaniemy? Czy te niby “zdjęcia” są rozsyłane z kont ludzi, których nie mamy w znajomych? Czy może z jakichś lewych kont są losowo wysyłane nieznajomym?

  119. I ostatnie info ode mnie: u żony pojawiło się rozszerzenie o nazwie “one”, które na tę chwilę usunąłem z plików i z przeglądarki…. zobaczymy dalej. Bardzo proszę o odpowiedź na moje poprzednie pytania.

  120. Avast 30-40 min. temu na FB podał, że jego najnowsze sygnatury już to wyłapują.

  121. Pytanie tak z innej bajki do expertów czy na mac-u ten skrypt zadziała czy to tylko pod windows?

  122. Jak długo trzeba będę musiał czekać z wyłączonym kompem jezeli otworzyłem to w Internet Explorerze?

  123. Jak dzieci. Przeciez bylo o tym w pierwszym numerze zinu offline pewnej innej strony o bezpieczenstwie. Troche przeszlo rok temu.

  124. Cześć, zaraziłem się tym wirusem. Usuwam podany artykule plik, który jest w wielu folderach. Za każdym razem, gdy właczam przeglądarke pliki pojawiają sie znowu. CO zrobic?

    • @seba
      reinstaluj przeglądarke, po tym użyj ADW cleanera

    • @Seba
      i jak pomogło?
      jeśli masz backup to polecam przywrócić,
      najlepiej nie loguj się z konta administratora chyba że będzie to potrzebne.

  125. Mam windowsa 7 i nie mogę wcale odnaleźć takiej ścieżki. Zamiast tego zrobiłam przywracanie systemu do momentu sprzed ataku. Czy to wystarczy?

  126. Jak pisałem powyżej, sam nieopatrznie ściągnąłem i kliknąłem w ten plik (najpierw sprawdziłem go ESET-em, który wtedy nic nie wykazał). Nie wiem czemu, plik odpalił się w Internet Explorer, pomimo że ma Win 10 a główna przeglądarka to Chrome. Wyświetliła się biała strona z czerwoną kropką, ale przykryło to okno z komunikatem IE, że “Od teraz zewnętrzne aplikacje nie będą mogły zmieniać strony startowej”. Tu nabrałem podejrzeń, nie chciałem nic klikać na stronie, nie mogąc zamknąć przeglądarki, więc zrestartowałem komputer. Dziś ESET nie pozwala nawet ściągnąć pliku, odrazu wykrywając zagrożenie. Od wczoraj kilkukrotnie przeskanowałem ESET-em kompa, przed chwilą skończyło się skanowanie dokładne całości wszystkich dysków….i nic nie wykrywa, Nic się również na kompnie nie dzieje, nic nie szyfruje, nikt mi nie zgłasza aby na FB wychodził odemnie SPAM. Także, tak jak napisano w linku poniżej, o ile odpaliło się plik w innej przeglądarce niż Chrome lub nie instalowało się proponowanego dodatku, to nic się nie stało. http://security.stackexchange.com/questions/143141/i-received-a-suspicious-svg-file-via-facebook-message-what-does-it-do/143145#143145

  127. Sebam odinstalować przeglądarkę. Najpierw wszystko z tych foldrów usunąć a potem nie włączając już przeglądarki odinstalowac ja.

  128. U mnie poprosiło o instalkę kodeka, pozwoliłem. Wyświetliła się strona z info, że zaraz mogę zobaczyć nagie fotki – tu wyczułem temat i zamknąłem wszystko. Potem wywaliłem całego chroma, skasowałem katalog podany w temacie artykułu i pracuję na mozilli. Póki co nic się nie dziej…może jeszcze coś się wydarzy.

    • Powinienes wyczuc moment jak juz cos chcialo kodekow. Jak juz masz stary system – nie nowo co zainstalowany – to pewnie juz masz wszystko, wszystkie kodeki potrzebne do przegladania, bo przeciez wczesniej juz chyba uruchamiales filmy i zdjecia. Jak pojawia sie cos nowego i nieznajomego to wtedy od razu powinna sie zapalac lampka i nalezy szukac info w necie/google.

  129. Do wszystkich “Januszy Komputera”
    jeżeli nie otwieraliście ani nie pobieraliście żadnego pliku (np tego rozszerzenia do przeglądarki) Nic wam nie grozi
    PS: w artykule nie ma nic o exploidach

  130. Pobrałem plik w przeglądarce chrome, otworzył mi się w edge (mam win 10). Następnie pokazał mi się ten “ala youtube” jednak żaden dodatek mi się nie instalował, nie wyskoczyło mi nawet powiadomienie o dodatku.
    W %LOCALAPPDATA%\Google\Chrome\User Data\Default nie ma pliku “jegjfinhocnmomhpgmnbjambmgbifjbg“, w profile 1 też go nie ma.
    Mogę wejść w opcję “rozszerzenia” w chrome.
    Przeskanowałem system avirą/ adwcleaner / Malwarebytes Anti-Malware. Nic nie wykryło.

    Czy mogę jeszcze w jakiś sposób sprawdzić czy mój system jest czysty ( bądź nie) ?

    • Podobnie skanowałem. Adw, malware, kaspersky – nic. Dodatkowo sprawdzilem hijackthis, przerylem rejestry i pobralem triala Hitman.Pro i przeskanowalem – nic nie wykryto.

  131. Wczoraj klikłem w to na telefonie i na razie nic się nie dzieje mimo tego radzicie przywrócić telefon do stanu fabrycznego ?

  132. MINĘŁA 20! Jaho, kierowniku, mistrzu i fanie Matrixa.
    Oto jedna zapowiedź- Spy Shelter Firewall. Sądzę, że avast, Kaspersky i inne programy bezpieczeństwa tworzą złudne uczucie bezpieczeństwa.
    – Świetnie jest wiedzieć, że ktoś tworzy screen pulpitu itd.

    Pozdrawiam!

    • Jeszcze jakby ten AV kanapki robił to byłoby super. A poza tym Robi wszystko. Ciekawe. :V
      Trzeba będzie przetestować na wirtualce. Ciekawe rzeczy piszą:)
      “Szyfrowanie Klawiatury
      SpyShelter posiada wbudowany sterownik szyfrowania klawiszy. Szyfruje on wszystkie klawisze w czasie rzeczywistym, dzięki czemu inne aplikacje nie są w stanie przechwycić tekstu wysyłanego do danego programu.” Mocno ciekawe.
      A to już wejście smoka normalnie. Buhahahaha.
      “OCHRONA ‚ZERO-DAY’
      SpyShelter rozumie sposób w jaki działa złośliwe oprogramowanie, dzięki czemu nie wymaga bazy sygnatur wirusów. Nasze oprogramowanie chroni komputer przed zaawansowanymi atakami które nie zostały oficjalnie rozpoznane.” Albo AV weszły na nawy poziom heurystyki albo ten opis miażdży inteligencję Yanuszy internetów.

  133. LUDZIE BŁAGAM O POMOC. NAWET NIE WIECIE CO ROBI TEN WIRUS Z WASZAYMI IPHONAMI, JA NIECHCĄCY W TO WCZORAJ WSZEDŁEM I DZISIAJ DOPIERO SCZAILEM SIE ZE COS JEST NIE TAK PO TYM GDY OSOBY DZWONIĄCE DO MNIE ZACZĘŁY SIE SKARŻYĆ NA PISK PODCZAS POŁĄCZENIA, PO WYŁĄCZENIU ORAZ WŁĄCZENIU TELEFONU PRZEZ KILKA SEKUND POJAWIAŁA MI SIE NA GORZE EKRANU MINI SŁUCHAWKA SUGERUJĄCA PRZEKAZYWANIE POŁĄCZEŃ, CZYLI TEN WIRUS PODSŁUCHUJE, MAŁO TEGO, JAK CHCIAŁEM WYZEROWAĆ WSZYSTKIE
    USTAWIENIA TO PO WPISANIU NORMALNEGO 6-cyfrowego KODU, WYSKOCZYŁO MI ZE MAM WPISAĆ JESZCZE KOD OGRANICZEŃ KTÓREGO NIGDY NIE USTAWIAŁEM I JEST 4-cyfrowy, LUDZIE BŁAGAM POMÓŻCIE MI, Z MOJEGO TELEFONU ZNIKAJĄ WAŻNE I PRYWATNE DLA MNIE ZDJĘCIA, TO JEST JAKAS PARANOJA, ZEBY TACY PRZESTĘPCY NIE BYLI KARANI, BŁAGAM POMÓŻCIE MI, POZA TYM MAM 17 lat I DŁUGO HAROWAŁEM NA TEN TELEFON PO LEKCJACH ZEBY TERAZ WYWALIĆ GO DO ŚMIETNIKA, MAM IPH 6s+, BŁAGAM POMOCY…….

    • @Robert aż dziwne żę plik svg (zrobiony pod windows nie pod IOS) jest w stanie cośtakiego zrobić (jeżeli mówisz prawdę w co wątpie)
      Jeżeli naprawdę jest aż tak źle możesz oddać telefon do serwisu i tam ci go zresetują.
      PS: polecam wcześniej zrobić backup i pozmieniać hasła)

    • Telefon wyłącz i do serwisu. Powinno dać się pomóc.

      Wg mnie nie próbuj natomiast samodzielnych pochopnych napraw, żeby nie pogorszyć sprawy. Stres jest złym doradcą.

  134. Witam ja odczytałam tego wirusa na messengerze w telefonie(zte blade A452) myśląc że to zdjęcie niby nic sie nie działo ale jak weszłam w galerie to okazało się że brakuje mi zdjęć i filmików które były zapisane w pamięci telefonu te z karty pamięci są nie ruszone( jak narazie) czy jest sposób na pozbycie sie go z telefonu z androidem(5.1)??

  135. Jeśli chodzi o mnie to wirus nie przeszedł.
    Pakiet ArcaBit zablokował wirusa.
    Zresztą nawet przy wyłączonym nowa wbudowana w Windows 10 przeglądarka Microsoft Edge nie pozwoliła na uruchomienie skryptu.
    Co ciekawe to otwierając plik w Microsoft Internet Explorer w Windows 10 wyświetliło się zdjęcie pulsującej czerwonej kropki i nic się nie wydarzyło.
    Zresztą nawet gdyby coś się wydarzyło to by mi ArcaBit SafeStorage zabezpieczył zasoby, więc szyfrowanie plików mi nie straszne.

    • Akurat “zdjęcie czerwonej pulsującej kropki” to pierwsza linijka zainfekowanego svg, wrzucona dla niepoznaki:

      Więc jednak sprawdziłbym czy na pewno nic się nie wydarzyło :)

      PS: Właśnie deobfuskuję kod, póki co wygląda to tak http://pastebin.com/mE1fYW1R dam znać jak do czegoś dojdę

  136. 3 lata temu zablokowałem pliki svg na ochronie brzegowej. I kilka innych. Zero problemów.

  137. mam takie powiadomienie na FB (aplikacja w iPhone), wlaczam FB na telefonie tylko jak mam wlaczony VPN, nie dostalam zadnego zdjecia, nie otwierałam tez, po prostu wyskoczylo mi jakies powiadomieni na FB i cos musialam przeklikac (wstyd nie wiem do konca co, dziecko mi breczalo wiec przeklikalam zeby otworzyc apke, ale na pewno nie w zdjecia, czy jakies wtyczki). Czy to jest standardowe jakies powiadomienie, czy oznacza cos “zlego”? nie wiem nawet jak to wylaczyc

    • Jakie konkretnie jest to powiadomienie?

  138. Walczyłem z tym do 5 nad ranem. Nieopatrznie kliknąłem na plik svg. 20-11ok 22
    Używałem Total Commandera i usuwałem wszystkie pliki jakie powstały w katalogu App Data po tym feralnym kliknięciu. Wirus blokuje dojście do tego katalogu i nie pozwala na usuniecie plików z poziomu przeglądarki. Jeżeli kogoś poczęstowałem jakimś plikiem wektorowym to z góry przepraszam. Pod żadnym pozorem nie klikajcie w to. Jeśli możecie przeczytajcie artykuł na stronie Niebezpiecznik. Mnie bardzo pomógł choć i tak nie obejdzie się bez pomocy zięcia informatyka i odinstalowania przeglądarki i ponownego jej zainstalowania i konfiguracji. Sukcesem było w ogóle wejście na FB bo dopóki nie usunąłem, mam nadzieję całego, aktywnego robaka to i to wejście miałem zablokowane. Najgorsze jest to że mój program antywirusowy ( i to jeden z lepszych ESED NOD 32) nie likwiduje zagrożenia pokazuje tylko w dzienniku miejsca gdzie zainstalował się wirus…Zrobiłem zrzuty z ekranu podczas skanowania i wysłałem mailowo zięciowi informatykowi. Jak będę miał dostęp do laptopa, który nie jest zawirusowany prześlę je redakcji może coś pomogą. Kiedy wirus zablokował mi wejście na stronę Pogoda Interia wyświetlając komunikat, że jest niebezpieczna uznałem, że mimo usunięcia ręcznie ok 200 plików, które zainstalowały się od godz 22 do 5 nad ranem nie pozbyłem się robaka definitywnie wyłączyłem komputer i zabrał go zięć. Przeglądarka Mozilla Firefox, nie instalowałem celowo żadnego dodatku wystarczyło jedno kliknięcie na pseudo zdjęcie…
    Wyjątkowo wredna bestia. Pliki svg omijajcie szerokim łukiem!!!!

    • >Przeglądarka Mozilla Firefox, nie instalowałem celowo żadnego dodatku wystarczyło jedno kliknięcie na pseudo zdjęcie…

      Jesteś tego pewien? Szukałem informacji na ten temat w sieci, i w kodzie .svg niby nie ma żadnych exploitów atakujących bezpośrednio przeglądarkę, tylko przekierowania na strony spoofujące + ten kodek.

      Czy aby na pewno ten wirus to spowodował? Redakcja serwisu chyba już nie aktualizuje tego artykułu, więc chyba się nie dowiemy :)

    • W kodzie jest window[“top”][“location”][“href”] = “http://mourid.com/php/trust.php”;

      Ten SVG to tylko exploit kit, który można przekierować na jaki chcesz wirus, więc znając życie jest tego już dziesiątki wariacji. Stąd różnice w działaniu na różnych przeglądaRkach – różne payloady.

    • Jak próbuję sobie z adresu wyliczonego przez skrypt (i wysyłanych przez niego przekierowań) ściągnąć coś curlem to dostaję odpowiedzi bez treści. Możliwe że serwowane są różne exploity różnym przeglądarkom (stąd opisywane różnice w zachowaniu)

  139. Ale jak mam dobrego płatnego antywirusa to jestem bezpieczny prawda?

  140. Kochane niebezpieczniki,
    czy M$ EMET + CryptoPrevent załatawiają tu temat?

    • Druga sprawa: powinniśmy teraz chyba obawiać się podobnych exploitów w SVG osadzonych na stronach…

    • A możesz w jakimś skrócie opisać, co na tej stronie jest opisane, bo mój angielski zatrzymał się kilka lat temu, a na dodatek chyba tam są zwroty dość informatyczne… :) Przeczytałem tylko, że chrome poradził sobie z wtyczką tak??

    • W skrócie:

      Ten plik SVG jest tzw. exploit kitem, czyli uniwersalnym narzędziem służącym do przekazywania tzw. payloadów – czyli faktycznych wirusów. SVG to format grafiki wektorowej, w którym można również używać skryptów, np. do animacji. W naszym przypadku, mamy czerwone kółko dla niepoznaki, a w międzyczasie skrypt przekierowuje na stronę atakującego (a konkretniej przekierowuje przez trzy strony jedna po drugiej). W końcu ląduje na fałszywej stronie YouTube proszącej o instalacje dodatku do Chrome i tak dalej – zgodnie z opisem w poście.

      Google usunął już to rozszerzenie z Chrome Web Store, dodatkowo strony atakującego nie działają (być może sam atakujący je zamknął, być może firma w której wykuPił domenę/hosting zareagowała). Facebook szybko zareagował i blokuje udostępnianie plików SVG. Krótko mówiąc, “game over”, ale nie do końca. Metoda nadal działa, tylko z użyciem innych metod. Facebook blokuje, ale możemy już spodziewać się SVG w załącznikach do maili, na forach itd.

      Dodatkowo, trzeba pamiętać że exploit kit to tylko “strzykawka”, która podaje nam wirusa. To że akurat ten wirus (rozszerzenie do Chrome) był kiepski, nic nie zmienia, bo już słychać o wariancie, który podrzuca nam payload Locky, który już szyfruje dysk i wyrzuca monit o okup w zamian za odszyfrowanie (tzw. ransomware). Znając życie, przewinie się jeszcze kilka-kilkanaście wariantów tego syfu.

    • Czyli rozumiem, ze jeśli żona ściągnęła wirusa tydzień temu i usunąłem jej z komputera rozszerzenie i jego folder, to jesteśmy już bezpieczni? Jest jakiś sposób, aby to sprawdzić i mieć pewność w 100 %? Bo np. wyskakuje jej błąd w wordzie, że albo inny użytkownik (tylko ona korzysta z tego komputera), albo jakiś program ma również ma otwarty dokument… Bardzo proszę o pomoc i dziękuję, za odpowiedź :)

  141. Nie wiem czy to jest jednostkowy przypadek, ale u osoby, która wczoraj “zaraziła się” wirusem, rozsyłała pseudo “zdjęcia” dziś na jej wallu na FB pojawił się odnośnik do pliku wideo – oraz od razu informacja “nie otwierać”.

    Ta osoba (zupełny laik komputerowy) nie bardzo potrafi powiedzieć co od wczoraj zrobiła, podobno “lekarstwo” otrzymała od Facebooka.
    Wczoraj podobno się “odwirusowała”, ale dziś pojawiło się to wideo.

  142. Facebook teraz blokuje konto jeśli prześle się plik SVG ):
    Właśnie to zrobiłem i teraz mam problem bo aby odblokować konto, muszę ściągnąć ten niby skaner i przeskanować komputer. Tyle, że ten skaner nie działa na linuxie ( debian 8 ) Próba odpalenie przez wine kończy się wykrzaczeniem zaraz po uruchomieniu skanowania :/

    • WinPE?

    • anonim 2016.11.22 20:33 | # | Reply

      Facebook teraz blokuje konto jeśli prześle się plik SVG ):
      Właśnie to zrobiłem i teraz mam problem (..)

      Właśnie pozbyłeś się problemu. :)
      Tak trzymaj. :)

  143. Dowód na to, że zwykły user nie powinien mieć dostępu do usług google i FB.

  144. Dostałem parę dni temu powiadomienie o włączeniu powiadomień SMS na moim koncie. Jestem pewien że nie klikałem na żadną tego typu wiadomość. Czy jest możliwość, żebym został zainfekowany? Numer telefonu jest ustawiony prawidłowy, sprawdzałem. Dodam, że na komputerze nie zauważyłem żadnych widocznych objaw zainfekowania typu zaszyfrowanie dysku. Z góry dziękuję za pomoc

  145. Żeby zainfekować swój system trzeba wykonać całą serię czynności. Już sam fakt przekierowania na fałszywego youtuba po kliknięciu w zdjęcie powinien wzbudzić w większości ludzi niepokój… a już instalowania specjalnego codeca/dodatku do przeglądarki (przypominam – po kliknięciu w zdjęcie) zakrawa na szaleństwo!

    Kto przy zdrowych zmysłach wykona całą tą serie czynności !?!

  146. Czy ktos mogłby noobowi z javascriptu przybliżyć jak dziala ten kod?
    Jak rozumiem gros ciala funkcji to odkodowanie parametrow użytych na koncu.
    Kluczowe są ostatnie linie, a zwłaszcza ostatnia. Javowiec widziałby tu przypisanie wyniku funkcji do komórki 3-wymiarowej tablicy ;), ale domyślam sie ze elastycznosc js ukrywa tu wywołanie różnych? metod window, zapewne open() z odpowiednimi parametrami? I jeszcze: 2 ostatnie parametry funkcji bmizr są za każdym razem dla picu? nie widzę żeby były jakoś przetwarzane wewnątrz a tym bardziej zwracane…

  147. Chyba mój komp robi sam printscreeny…

  148. do Michał 22.11 godz 22:18.
    Nie wcale nie jestem pewien. Pewnym na 100% można być tylko podatków i tego, że kiedyś odejdziemy z tego świata…
    Na pewno świadomie nie instalowałem dodatku. Po kliknięciu na pseudozdjęcie pojawiło się okno chyba Internet eksplorera które nie dało się zamknąć. Pozamykałem wszystkie pootwierane programy a ponieważ nadal tajemnicze okno się nie zamykało podejrzewałem, że komputer po prostu się zawiesił. Nauczony, że przed wyłączeniem komputera należy zakończyć otwarte programy, nieświadomy zagrożenia, wcisnąłem ctr+alt+del i w menadżerze zadań – program nie odpowiada – wybrałem zakończ zadanie. I to najprawdopodobniej wtedy nastąpił atak złośliwego oprogramowania. Gdybym po prostu wyjął wtyczkę z gniazdka to może nic by się nie stało. Człowiek uczy się niestety na błędach. Szkoda tylko, że może być to bardzo droga lekcja – nie mam backupów danych z dysku na którym zainstalowany był system…

  149. Wczoraj wyszła łatka do Firefoxa: https://www.mozilla.org/en-US/security/advisories/mfsa2016-92/

  150. U mnie jest taki problem, że po otwarciu tego na tel z Android 6.1 padła karta pamięci i to na tyle skutecznie, że na żadnym sprzęcie jej nie widać.
    Zna może ktoś jakiś sposób żeby jakoś dostać się do tej karty?

  151. Nie rozumiem, dlaczego straszycie ludzi korzystających z nie-chrome. Czy chrome jest jakąś super hiper wyjątkową przeglądarką, której jako jedynej nie da się zhakować bez instalacji dodatku? Inne przeglądarki są prawdopodobnie równie bezpieczne jeśli użytkownik nie jest debilem.
    Nie podajecie żadnego argumentu ani żadnej informacji co ma dalej zrobić biedny człowieczek, któremu właśnie kazaliście brutalnie wyłączyć kompa. Mistyczni “inni badacze” to źródło tak samo wiarygodne jak “amerykańscy naukowcy”. Doradzanie tak drastycznych środków bez dosłownie słowa wyjaśnienia to głupota. Nie popisaliście się zupełnie nieprofesjonalnym podejściem.

  152. Wie ktoś jak nazywa się taka metoda obfuskacji kodu?

    • Tak, ta metoda nazywa się “g**** nie obfuskacja”

  153. Ktoś podesłał mi screen lub zdjęcie przez messenger. Nieznajoma osoba w zakładce innne.

    Czego mogę sie spodziewać jeśli otworzyłem to zdjęcie?

    nie miało rozszerzenia .svg, w ogóle nie widać rozszezenia tylko screen

  154. Ponawiam mój wpis, bo nie wierze, że można być aż tak naiwnym:

    Żeby zainfekować swój system trzeba wykonać całą serię czynności. Już sam fakt przekierowania na fałszywego youtuba po kliknięciu w zdjęcie powinien wzbudzić w większości ludzi niepokój… a już instalowania specjalnego codeca/dodatku do przeglądarki (przypominam – po kliknięciu w zdjęcie) zakrawa na szaleństwo!

    Kto przy zdrowych zmysłach wykona całą tą serie czynności !?!

  155. Sam fakt przekierowania na nieznana strone na ktorej nie masz pojecia jakie skrypty sa tam jest niebezpieczny … slyszeli o czyms takim jak BeEF ?

  156. […] Więcej szczegółów – w tym porady, co zrobić, jeśli nasz komputer został już zainfekowany – w serwisie Niebezpiecznik (KLIK!). […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: