15:40
26/6/2016

Advertisement

Uwaga na facebookowe powiadomienia informujące o tym, że ktoś ze znajomych oznaczył Cię w komentarzu. Cześć z nich jest generowana przez zainfekowane komputery Waszych znajomych. Z liczby napływających do nas w tej sprawie zgłoszeń wnioskujemy, że ofiarą facebookowego robaka padła znaczna liczba Polaków, pewnie dlatego, że wirusa wyposażono w całkiem skuteczny mechanizm replikacji.

Jeśli chciałbyś poznać szereg przydatnych narzędzi i nauczyć się szybko analizować złośliwe oprogramowanie, nie tylko otrzymywane na Facebooka ale i na firmowe skrzynki e-mail, zapraszamy na nasze lipcowe szkolenie z Analizy Malware — zostało jeszcze 5 wolnych miejsc.

Na czym polega atak?

Pierwsze informacje o ataku zaczęły do nas spływać wczoraj w południe. Atak zaczyna się od zobaczenia standardowego, niewinnego powiadomienia:

fb-jse-attack-notification

Kliknięcie w powiadomienie o komentarzu generuje jednak przejście na link następującej postaci (robak musi wykorzystywać jakiś błąd po stronie Facebooka, który umożliwia mu spoofowanie adresów prowadzących do komentarza):

hxxps://www.facebook.com/l.php?u=https%3A%2F%2Fdoc.google.com
%2Fuc%3Fauthuser%3D0%26id%3
D0B9NM1DmE2pp0cUl4UG9LRjU2aVE%26
export%3Ddownload%26o%3Dkgkshej2w8a03ciq
ykislfa1d70g58aonj3yhgigwa%26fb_comment_id%3D
fbc_967014623415986_9670146
36749318_967014636749318&h=lAQHcY-Th
&s=1&enc=AZOpcmMVlnptOTcj4Slo-1jqRnl
cGpNJyV2-lzlVfFoMtlfIhd9zoIUOJapy2G8
jrACftFQMjkOPBXiPiltiXD_2aFapOM0Ejiu
7T5jf_cgqzg

Leaving_Facebook___

i finalnie prowadzi pod następujący URL do zaufanej, bo googlowej domeny “docs”, gdzie jednak zamiast dokumentu Office ściąga się plik z JavaScriptem:

hxxps://doc.google.com/uc?authuser=0&id=0B9NM1DmE2pp0cUl4UG9LRjU2aVE
&export=download&o=kgkshej2w8a03ciqykislfa1d70g58aonj3yhgigwa
&fb_comment_id=fbc_967014623415986_
967014636749318_967014636749318

z którego pobierany jest plik comment_20084447.jse (liczba w nazwie pliku ulega zmianom). Plik ten zawiera zobfuscowany kod (tu zdezobfuscowany), którego nie wkleimy w posta, żeby Wasze antywirusy nie powariowały ;)

_JavaScript__comment_xxx_jse_-_Pastebin_com

Po uruchomieniu, dzięki Windows Script Host, uaktywnia się funkcja droppera, który z poniższych URL-i pobiera złośliwe oprogramowanie (m.in. rozszerzenie do przeglądarki i skrypt autoit.exe) zamaskowane jako pliki .jpg:

http://userexperiencestatics.net/ext/Autoit.jpg >> autoit.exe
http://userexperiencestatics.net/ext/bg.jpg >> bg.js
http://userexperiencestatics.net/ext/ekl.jpg >> ekl.au3
http://userexperiencestatics.net/ext/ff.jpg >> ff.zip
http://userexperiencestatics.net/ext/force.jpg >> force.au3
http://userexperiencestatics.net/ext/sabit.jpg >> sabit.au3
http://userexperiencestatics.net/ext/manifest.jpg >> manifest.json
http://userexperiencestatics.net/ext/run.jpg >> run.bat
http://userexperiencestatics.net/ext/up.jpg >> up.au3
http://whos.amung.us/pingjs/?k=pingjse346 >> ping.js
http://whos.amung.us/pingjs/?k=pingjse3462 >> ping2.js

Jak widać, robak “pinga” skrypt do statystyk, dzięki czemu możemy podziwiać dane na temat liczby ofiar i ich rozlokowania na świecie:

stats2

stats

Po zainfekowaniu, robak nie tylko rozsyła złośliwe powiadomienia na Facebooku poprzez tagowanie znajomych ofiary w komentarzach, ale również wysyła złośliwe linki przez facebookowy chat:

ab5542be-9140-4dc3-a089-a0dae363fa92

i publikuje wpisy na tablicy ofiary z linkiem powodującym pobranie złośliwego pliku:

Pasted_Image_26_06_16_17_20

Robak ma też funkcję ransomware’u i może także rozpocząć szyfrowanie plików na dysku twardym, których odzyskanie będzie wymagało zapłaty okupu …i niestety, na chwilę obecną niewiele znanych antywirusów go wykrywa:

Antivirus_scan_for_5041e916c299b66263ca8e8ba57bd90b26368ed2492f61e06c707c5465cdde91_at_UTC_-_VirusTotal

Czy jestem zainfekowany?

Jeśli nie masz Windowsa lub masz Windowsa ale nie uruchomiłeś pliku .jse, który przeglądarka chciała ściągnąć po kliknięciu w złośliwe powiadomienie, nic Ci nie grozi (ale jeśli go pobrałeś, na wszelki wypadek, usuń go, abyś kiedyś przez pomyłkę go nie uruchomił).

Jeśli widzisz takie powiadomienie jak wyżej, przesłane od Twojego znajomego to go ostrzeż, bo jest zainfekowany. I zrób to jak najszybciej (zanim złośliwe oprogramowanie zaszyfruje mu cały dysk twardy). Do ostrzeżenia nie wykorzystuj Facebooka a telefon, bo robak ma funkcję blacklistowania pewnych domen i jest w stanie komunikować się przez facebookowy komunikator (co oznacza, że w kolejnych wersjach może “filtrować” takie ostrzeżenia przesyłane do ofiary od jej bardziej uświadomionych znajomych).

Jeśli na powyższe rady jest za późno i jesteś zainfekowany — zamknij przegladarkę i usuń poniższe pliki ze swojego komputera (katalog %appdata%):

autoit.exe
bg.js
ekl.au3
ff.zip
force.au3
manifest.json
ping.js
ping2.js
run.bat
sabit.au3
up.au3

…a jeśli nie potrafisz namierzyć złośliwego rozszerzenia, także cały katalog z przeglądarką i jej rozszerzeniami. Jeśli pliki są już zaszyfrowane, polecamy naszą instrukcje walki z ransomwarem i podobnymi Cryptolockerowi zagrożeniami.

Dziękujemy wszystkim czytelnikom, którzy podesłali nam informacje o wirusie, zrzuty ekranu i fragmenty swoich analiz: Mateusz XTR3M3K, Bartek, Adrian, Rafal, Kamil, Buber, Korni, Gamerz, Krystian i wielu innych

P.S. Jeśli chciałbyś poznać szereg przydatnych narzędzi i nauczyć się szybko analizować złośliwe oprogramowanie, nie tylko pod postacią plików JS otrzymywanych na Facebooku, ale przede wszystkim pod postacią złośliwych załączników trafiających na fimowe skrzynki e-mail, to zapraszamy na nasze lipcowe szkolenie z Analizy Malware — zostało jeszcze 5 wolnych miejsc.

Przeczytaj także:



99 komentarzy

Dodaj komentarz
  1. Czy mac os x też jest podatny?

    • Mac Os jest wolny od tego zagrożenia. Sprawdzone.

    • Nie mam Windowsa, znowu jestem bezpieczny. ;-)

    • @BGP ty może jesteś bezpieczny, ale nie Twój protfel

  2. przes wirus odpalany jest plik ,exe. Rozumiem, że systemów OSX raczej nie rusza ten wirus? ?

  3. Mogę prosić lamersko o wyjaśnienie – “Po uruchomieniu, dzięki Windows Script Host, uaktywnia się funkcja droppera” <- to się dzieje automatycznie, czy użytkownik musi w coś kliknąć?

    • tak, automatycznie, w sposób niewidoczny, niejako w tle.

    • W artykule nie jest doprecyzowane – czy plik comment_20084447.jse po pobraniu z Google Docs uruchamia się automatycznie (w co bardzo wątpię), czy trzeba go uruchomić ręcznie dwuklikiem, lub jednoklikiem w przeglądarce (np. dolna belka z pobranym plikiem w Chrome)?

    • Nie automatycznie. Po pobraniu musisz go uruchomić ręcznie.

  4. Co jeśli uruchomiłem go w telefonie z androidem?

    • Nie, Android, IOS i ogólnie telefony są bezpieczne.

  5. Jak mam Linuksa to nic mi nie zrobio, prawda?

    • Uzytkownicy Linuksa nie uzywaja Facebooka.

    • Bo nie mają znajomych hehe

    • Bo nie ma fb na konsolę ;-)

    • Użytkownicy Linuxa używają minds.com

    • ..i tu sie Danielu zdziwsz bo sa konsolowe przegladarki internetowe np: Links2 :-p

    • @odbojnik: Które nie obsługują JS od którego FB jest b. zależne (spróbuj przeglądać FB z noscriptem np.). Ale śmiej się lub nie, API fb jest w większości znane więc nic nie stoi na przeszkodzie aby np. ktoś napisał clienta messengera działającego w terminalu (albo bramkę działającą jako bot ircowy). Nie wiem jak z obsługą reszty sajtu ale wiem że przynajmniej messenger jest do zrobienia.

    • @SuperTux Jest wersja FB bez JavaScriptu, na starsze telefony.

  6. Uciąć jaja temu gnojowi, który to napisał.

    • No jak uciąć? Kawał porządnej, inzynierskiej roboty ktoś wykonał, jestem pod wrażeniem :)

    • A co jezeli ta osoba to kobieta?

    • Szczęściara :D

  7. czy zablokowanie hostów:
    http://userexperiencestatics.net
    oraz
    http://whos.amung.us

    nie zablokuje częściowo wirusa?

    • dodanie tych domen które wymieniłeś nie pomoże, ale jak dodasz facebook.com i drive.google.com to pewnie częściowo zablokujesz jego działanie. :-D

  8. Ładniej zdezobfuscowany kod:

    http://wklej.org/id/2637500/

    • Czym zdeobfuskowałeś? Jest jakaś dobra stronka online do tego albo skrypt?

  9. A wiecie ,że zwykli użytkownicy mają to…w niewiedzy ? Ileż razy ja sam przestrzegałem znajomych,ile podpowiadałem. Niestety ,zwykli użytkownicy nie mają świadomości , że są łatwym łupem w necie.Temat rzeka…

  10. Dzieki, już wiem skąd ostatnio tyle półnagich Rosjanek mnie komentuje i wysyła zaproszenia, choc nie znam ani jednej, nawet ubranej :).

    • Polki ładniejsze :)

    • Brzydsze …

  11. Polecam Cryptoprevent. Domyślnie w filtrach ma nałożoną blokade w %appdata% na pliki między innymi.jse

    • Mówisz o tym narzędziu: http://www.programosy.pl/program,cryptoprevent.html ?
      Faktycznie to działa, ktoś może potwierdzić/zaprzeczyć?

    • Aż z ciekawości pobrałem, zainstalowałem na VM-ce z win7 której używam głównie do darkweb coby głównego systemu nie upaćkać, potem celowo pobrałem wirusa z artykułu, uruchomiłem i ładnie zablokował (nie wykryłem plików wspomnianych w artykule).

      Wszystko w VM bez włączonych shared folders czy podobnych rzeczy, więc nawet jak by się coś dostało to by najwyżej vmkę zaszyfrowało (a że tam nic ważnego nie mam, to wystarczyłoby ją skasować i na nowo zrobić).

  12. Czytajcie że zrozumieniem. Jeśli odpaliliscie na czymś innym niż Windows to nic się nie stało. A co do twórcy kodu w końcu pokazał jacy ludzie są podatni na to.

  13. Ten skrypt w .jse moze urichomic sam plik .exe bez pytania uzytkownika o zgode? W windowsie chyba od 7 domyslnie ustawione jest ostrzezenie przed kazdym uruchomieniem pliku .exe

    • Tak właściwie to od visty, ale dobrze prawisz. Problem w tym, że do zabezpiecznie zaskakuje tylko przy kliknięciu w exe z eksploratora albo innego managera plików. Jak odpalisz to exe poprzez bezpośrednie użycie WinAPI to ostrzeżenie się nie pokaża. A z tego co widzę z deobfuskowanego jse to właśnie tak się tu dzieje.

  14. Czyli jeżeli dobrze rozumiem, jak ktoś naciśnie link z wiadomości ale po szybkiej realizacji zamknie okno zanim pobierze się cokolwiek, jest bezpieczny, nieprawdaż?

    • Jak nie klikałeś w jse, to tak.

  15. Jak zwykła zjadacza chleba ma odróżnić prawdziwe powiadomienie o oznaczeniu na fb od tego, które prowadzi do nieszczęsnego linka?

    • Po złośliwym wyskakuje okienko z prośbą o pobranie pliku .jse. Niektórym może się ono nie pokazać, jeśli ich przeglądarka automatycznie pobiera i zapisuje pliki.

  16. Nie wiem jakim trzeba być idiotą aby uruchomić tak słabo przygotowany syf. Najwyraźniej na fb ich nie brakuje.

    • Niektórzy najwyraźniej bardzo chcą się dowiedzieć, co znajomy o nich napisał w komentarzu. Tak bardzo, że szukają tego komentarza w pobranym na swój komputer pliku .jse ;)

    • Powiadomienie na Facebooku wygląda w 100% autentycznie i właściwie takowe jest, podstawiony jest tylko link… i mnie zastanawia w jaki sposób. Pewnie jest to jakaś appka facebookowa, która instaluje się użytkownikowi na profilu i wywala powiadomienia znajomym danego użytkownika, tyle że zamiast powiadomienia o zaproszeniu do jakiejś gry czy coś generuje łudząco podobne do autentycznego powiadomienie o wzmiance w komentarzu.

  17. Heh no ciekawe, że coś takiego przeszło na facebook’u. Jakby ktoś miał problem z usunięciem wirusa to polecam Adwcleaner ;)

    • A co się dziwisz jak teraz jedynie idoci używają FB? Przecież tam jest pełno “Gorących 18-tek” i starych mamuś zbierających marchewki w FarmVille.

  18. > a jeśli nie potrafisz namierzyć złośliwego rozszerzenia, także cały katalog z przeglądarką i jej rozszerzeniami
    Jeżeli dobrze zdebugowałem, robak nie zawiera exploitów eskalujących przez UAC, więc pliki z /Program Files są bezpieczne. Poza tym robak targetuje raczej starsze niż dziesiątka Windowsy, bo w dziesiątce odpalenie niepodpisanego cyfrowo ActiveXObject z poziomu czegokolwiek (zarówno przeglądarki, jak i mshta czy wscript/cscript) jest niemożliwe przy standardowych ustawieniach. Poza tym wbudowany antywir Windowsa nie pozwala nawet na ściągnięcie pliku.

  19. > nie pozwala nawet na ściągnięcie pliku
    to znaczy: tego pliku.

  20. Ten “wirus” działa jedynie na windowsie. pliki au3 są kompilowane do exe, ale, że ten język (i pliki exe) działają topornie na wine, to nie się o co bać.

  21. Proszę bardzo – sabit.jpg. Można już rozkminiać jak to działa, bo to niespecjalnie zaciemniony kod AutoIt:
    http://pastebin.com/RAqsaVE4

  22. Wektor znany już w 2015: https://rstforums.com/forum/topic/99310-facebook-redirections-through-x-mentioned-you-in-a-comment/

    Co do samego wirusa, to część rozszerzenia do chrome (bg) pisze pozytywne oceny w chrome web store (po hiszpańsku), blokuje domeny antywirusowe, zmienia ustawienia prywatności na fb (!!!).

    Ciekawe było też to, że kod w tej części był “zakodowany” stringową reprezentacją funkcji, która go odkodowywała i była wypełniona po brzegi poleceniem “debugger” tak, aby uniemożliwić jej wykonanie – całkiem niezłe.

    Polecam jak się komuś nudzi: http://pastebin.com/EkUduCqc

  23. Z fb korzystam poprzez telefon. Niestety kliknalem w powiadomienie i automatycznie pobralem wirusa. Jak go usunac z androida? Z gory dziekuje za pomoc

    • Nic nie musisz robić, nie masz wirusa. Tylko uważaj żeby nie otworzyć takiego pliku na windowsie

  24. Co się stanie ,gdy się kliknie link z chatu?

  25. Wyłączyłem WSH już dawno, i każdemu polecam tak samo – preferuję np. Pythona.
    PS. takie akcje są czasami przydatne, pokazują, kogo usunąć ze znajomych bo jest mentalną amebą.

    • Dokładnie :) Podobnie z falami botnetów, które tworzą grupy z “darmowymi doładowaniami”, bonami, czy na co teraz próbują naciągnąć, dodają wszystkie zainfekowane konta, które następnie dodają wszystkich znajomych. Jeżeli zostaniemy do tego typu grupy dodani przez kogoś, to już wiemy, że możemy go wywalić ze znajomych. Podobnie ze wszystkimi spamami na PW oraz na tablicy.

  26. Jak z Chromebookami ?

    • Linux nie jest podatny

  27. aa co w sytuacji jesli sie pobrało na komputer samo nagle alee nawet tego nie otwierałem tylko usunąłem od razu, wtedy komputer jest zainfekowany ? (cholera jasna pierwszy raz się tak dałem zrobic) czy nadal powinienem coś dodatkowo podziałać? (poza przeszukaniem tego appdata, tam nic nie znalazłem) Bardzo proszę o odpowiedz, z góry dziękuję!

  28. Dobrze, że to działa na Windowsa :-)

  29. Ja dzisiaj rano właśnie o mały włos nie padłem tego syfu ofiarą. Na szczęście zorientowałem się, że coś jest nie tak, że tak się FB nie powinien się zachować no i oczywiście druga sprawa, która mnie uratowała i co w sumie w ogóle wszystkim polecam – ODMOWA UPRAWNIENIE WYKONYWANIE PLIKÓW dla wszystkich użytkowników w systemie z osobna wyszczególnionych dla folderu, w którym przeglądarka, z której korzystamy pobiera nam pliku. Co było drugim zabezpieczeniem u mnie w razie gdybym nawet niechcący kliknął. Plik by się nie wykonał, bo nie miałby uprawnień.

  30. Kolejne dwa wpisy do pliku hosts ;)
    whos.amung.us
    userexperiencestatics.net

  31. Jeśli klikneło się w to powiadomienie ale nic sie nie ściągneło to jest się bezpiecznym?
    Nie mam nic nowego w pobieranych na chromie ani żadnej modyfikacji na dysku C, czyli rozumiem że plik nie został pobrany?

  32. Macie mały fail na stronie – newsletter jest na samym dole strony a nie po prawej :)

    • Jaka przeglądarka, jaki OS, jakie pluginy?

    • firefox najnowszy, windows 8.1 x64 – to samo

    • Ale tak się dzieje tylko w przypadku tego artykułu. W pozostałych jest OK.

    • Thx, fixd.

  33. jak się przed tym chronić? szczególnie w środowiskach sieciowych. Czy zablokowanie *.jse czy ogólnie Windows Script Host przez GPO by coś dało?

  34. Wirus niebezpieczny tylko dla Windowsów. Ok. A jeżeli uruchomię dany plik na linuxie postawionym na virtualboxie, który znajduje się na Windowsie?

  35. Tekst byłby przydatny, gdyby była napisany dla zwykłego śmiertelnika. Niestety, wiele z tego nie zrozumiałam.

  36. czy ma ktoś jakiś sprawdzony sposób na usuniecie tego wirusa z komputera!!!!

  37. >na chwilę obecną niewiele znanych antywirusów go wykrywa
    Jak to dobrze że nie używam żadnego oprogramowania. :)

    Klikać z rozwagą – fb pokazuje że opuszcza się bezpieczną lokalizacje

  38. Swoją drogą warto zauważyć, że złośliwy skrypt JS wykorzystuje obiekty ActiveX do zapisania pobranych plików pod inną nazwą i próby ich uruchomienia, więc (przynajmniej jak narazie) zagrożeni są tylko użytkownicy Internet Explorera.

  39. U mnie właśnie się stało coś bardzo dziwnego, na osx. W jednej chwili facebook zmienił język na portugalski. Pisząc na messengerze zaczęły zmieniać się litery, przesuwać kursor, coś się zaczęło zaznaczać i pojawiać w oknie. Zmieniłam hasło i ustało. Ciekawi mnie, co to mogło być. [Inne strony / przeglądarka / komputer – w porządku]

  40. Czy jeżeli wirus pobrał tylko pliki: manifest.json ping.js ping2.js coment.js to mogę normalnie używać komputera po usunięciu tych plików?

  41. @Qba

    Ktoś mimochodem wspomniał (a ja potwierdzam, bo proszono mnie o pomoc w takiej sprawie) — nie tylko JSE i aX! Wirus posiada też całkiem skuteczny tryb ataku w postaci podejrzanego extensiona do chrome (nie wiem czy inne przeglądarki też). Ext jest dość upierdliwy, wprawdzie łatwo go zauważyć (ikona z opisem w postaci losowego ciągu znaków), ale usunięcie jest trudne (ext przejmuje kontrolę nad pewnymi funkcjami Chrome i nie daje się wywalić z UI), przeciętnym użytkownikom zalecam z reguły wywalenie Chrome, wyczyszczenie katalogów w AppData i ewentualne ponowne zainstalowanie…

    Tak więc to nie “nie używam IE, jestem bezpieczne”. Nie jesteś.

    • Hahaha. Nie używam IE i Chrome, jestem bezpieczny (ognistylis4life)

    • Z artykułu zrozumiałem, że elementem inicjującym infekcję jest właśnie podlinkowany skypt JS. Jak widać atak jest jeszcze bardziej rozbudowany.

      Odnośnie “nie używam IE, jestem bezpieczny” – Nikt nie powiedział, że używanie Chroma zwalnia od myślenia :P.

  42. Będę uważał na te powiadomienia i jak zauważę że ktoś jest zainfekowany skieruję go do tego posta. Dziękuję, NB!

  43. U mnie pojawił się dzisiaj chyba jakiś inny wirus – zmieniło mi język na portugalski, a gdy pisałam w oknie messengera wiadomość to przemieniało litery, jakby ktoś przejął okno. W całej przeglądarce nie występuje ten problem. Po zmianie hasła ustał jak na razie.

  44. Wiecie co? Właśnie na pocztę którą mam już z 4 lata na onecie przychodzą mi do SPAMu dziwne maile. W tych mailach są jakieś załączniki ZIP. Właśnie raz tak było, że wziąłem pobrałem załącznik, i było podobnie. Postawiłem jakąś maszynę wirtualną Win7 i na niej otworzyłem tego nieszczęsnego ZIPa w środku znajdował się jakiś JavaScript z kodem i kod był bardzo podobny. Tzn. tak samo jak tutaj były zaescapowane adresy pod jakieś strony 365host.ru coś takiego. Jak bym wszedł pod taki adres jaki jest w tym skrypcie (nie to co jest po slashu / tylko sam host np. 365host.ru zamiast 365host.ru/blablabla/wirus.exe) to mi szlak trafi w komputer?

    • Nie. Dopóki nie otworzysz wirusa, nawet jak ściągniesz to ci żaden syf nie wejdzie. Problem jest dopiero jak odpalisz go.

  45. Ja wczoraj dostałem powiadomienie, ale nie o tym że ktoś wspomniał o mnie w komentarzu ale jako zaproszenie do grupy od jednego ze znajomych i mnie zdziwiło trochę, że od niego ale kliknąłem i pojawił sie plik “comment_33109936 typ:zakodowany plik w jezyku JScript Rozmiar 5,3KB” idiota kliknąłem w to ale system zareagował więc wywaliłem do kosza i mam nadzieję że nie uruchomiłem tego czegoś o ile oczywiście o to “coś” chodziło

  46. Proszę o aktualizację na temat Instagrama, gdzie w moim imieniu ludzie są oznaczani na koncie pewnego użytkownika, gdzie dobę później już nie ma dostępu do jego postu.Korzystam z instagrama jedynie przez smartfon z iOS gdzie nie spodziewam się, że w nim znajduje się wirus. Nie mam pojęcia jak tego się pozbyć, zablokowanie użytkownika nic nie pomogło.

  47. Jeżeli nie znalazłeś plików i nie masz pewności czy usunięcie całego katalogu przeglądarki coś dało to format będzie dla Ciebie jedyną możliwością… Dopóki znów nie zalogujesz się na Facebooka…

  48. Nie jestem informatykiem. Czy możliwe jest że wirus jest zainstalowany na innym komputerze a wysyła powiadomienia z adresów znajomych? Nie tyle z adresów znajomych, ale by to wyglądało jakby było wysłane przez kogo innego? Wtedy namierzenie jego byłoby
    bardzo trudne… W takim wypadku usunięcie nieszczęsnika z grona znajomych (co proponują w komentarzach Wasi czytelnicy) nic nie da bo wirus następnym razem będzie się podszywał pod inną ofiarę… A komputer osoby, która rzekomo np. dodała cię do jakiejś grupy lub wspomniała o tobie w komentarzu może być “czysty” wolny od konia trojańskiego…

  49. Nie próbowaliśmy ani sprawdzać kto należy do tej zamkniętej grupy, czy należymy do niej sami, ani też z niej wychodzić (bo by usunąć się z grupy trzeba do niej wejść!!! Nie ma innej możliwości.) Powiadomienie po 24 godzinach znikło! Oczywiście poinformowaliśmy osobę z której komputera mogło (ALE WCALE NIE MUSIAŁO) wyjść to powiadomienie, wysyłając też opis jak zagrożeniu zaradzić. Mechanizm wirusa jest na tyle zdradliwy, że prawdopodobnie podszywa się pod fałszywe powiadomienia znajomych działając z innego miejsca!!! Dlatego jest tak trudny do zlokalizowania i zbiera tak szerokie żniwo. A w komputerze ofiary kod wirusa ukrywa się pod plikami z rozszerzeniem .jpg i nie każdy program antywirusowy sobie z tym radzi!!! Jedyna recepta to poza rozważnym klikaniem zainwestować w dobrego antywira… I ostrzegać na lewo i prawo – wszędzie gdzie się tylko da…

  50. Zamieściłem na FB album zdjęć zrzutów z ekranu powiadomienia które otrzymałem i artykułów dotyczących tematu w tym również tego. Wywołało to prawdziwa lawinę komentarzy ostrzegających czego się obawiać:
    “(…) zdarzają się także w naszej grupie sytuacje, że ktoś nieświadomie rozsyła spam.
    Zobaczcie jak to działa.
    I chrońcie Wasze konta przed takimi sytuacjami.
    Jeśli bowiem Wasze konto zostanie zarażone wirusem wystarczy, że klikniecie “lubię” w którejkolwiek grupie, do której należycie, by wyświetlił się spamerski wpis. A to często kończy się zbanowaniem, bo Admini nie dociekają czy Wasz spam pojawił się przez nieświadomość czy celowo.
    A zatem – uwaga na wpisy typu:
    – “biedne i głodzone pieski do oddania – upowszechnij, aby pomóc”;
    – “nieszczęśliwe, chore dzieci – Ty też możesz pomóc”;
    – “zobacz, kto Cię podgląda na Facebooku”;
    – “darmowe bony od H-M (i innych firm)”;
    – “wygraj smartfona/laptopa/komputer lub odbierz za darmo”;
    itp., itd.
    Zastanówcie się zanim coś takiego klikniecie, nawet jeśli wpisy pochodzą znajomych od osób – one najczęściej w ogóle o tym nie wiedzą.”

  51. A jaki antywirus może go wykryć?
    I wrzucony jest screen z jakiegoś programu czy stronki z wypisanymi antywirusami i jakąś analizą, co to jest za program/stronka?

  52. Doma, na tej stronie masz wyszczególnione programy antywirusowe, które pzwolą wykryć zagrożenie. Czy potrafią zlikwidować skutecznie wirusa w każdej fazie jego rozwoju tego już nie wiem… Nie zaufałbym darmowym programom popularnym w sieci. Zięć polecił mi jeden z płatnych i jak na razie spisuje się on bez zarzutu. I dość często usuwa przeróżne konie trojańskie, które przychodzą jako spam na skrzynkę żony. A na pewno alarmuje i to bardzo wyraźnie, że coś takiego się pojawia. Wystarczy tylko usunąć niechcianą wiadomość i opróżnić kosz…

  53. Do Doma.
    Dodam tylko, że to program, znajdujący się na liście 10 które przetestowała redakcja Niebezpiecznika z wynikiem pozytywnym. A na pewno w teście wzięło udział znacznie więcej programów, które nie przeszły konfrontacji z najnowszym ransomwere…
    Swoją drogą ciekawe ile ich użyto do testów…

  54. Do Doma.
    No i sam znalazłem odpowiedź na nurtujące mnie pytanie. Po kliknięciu na czerwony link “niewiele” (przed zdjęciem zrzutu z ekranu programów, które poradziły sobie z wykryciem wirusa) otworzy się strona: https//virustotal.com na której znajdziesz test 55 programów antywirusowych, z których aż 45 nie podołało temu zadaniu…
    Ale doszedłem do tego dopiero dziś po kolejnej lekturze artykułu. A jest w nim wiele linków w które warto wejść by poszerzyć swoje wiadomości. Jedyne w które nie wchodziłem to “kod ( tu zdezobfuscowany)” – chociaż to pewnie synonim unieszkodliwiony, niegroźny, nieaktywny – bo na samo słowo zobfuscowany dostaję ciarek na plecach… Nie jestem aż tak ciekawy co dokładnie było potencjalnym zagrożeniem mojego komputera.

  55. Baza wirusów programów antywirusowych jest na szczęście wciąż aktualizowana. Jeśli na stronie virustotal kliknie się link “zobacz najnowsze” to okaże się, że np. na dzień 28 czerwca programów wykrywających wrednego wirusa jest już 30 z testowanych 56…
    10 było w momencie pisania artykułu…
    Przepraszam więc czytelników za mimowolne wprowadzenie w błąd i rozumiem teraz dopiero pytanie Domy o odnośnik do tej strony.

  56. A czy to działa na systemy Android i ios bo ja korzystam z tableta

  57. Moja głupia koleżanka na moim komputerze pobrała tego robaka i głupia odpaliła :O całe szczęście że szybko zareagowałem ctrl+shift+esc i widzę nowe procesy. Szybko killed patrzę na pulpicie pojawiły się skróty od ie i chrome którego nie mam dzięki temu bardzo szybko zlokalizowałem autoit był co prawda w appdata ale w localu wywaliłem wszystko co nie pasuje mi do struktury i jest spokój. Sprawdzałem rejestr czysty więc chyba się go pozbyłem bo w procesach cisza. Nie używam anty vir bo zamula piec a po za tym przepuszcza [whitelist] tak więc tylko znać procesy które działają w tle oraz strukturę plików w appdata i jesteśmy bezpieczni ;)

    • Niestety jesteś w ogromnym błędzie :)

  58. Czy ComboFix da radę temu wirusowi?

  59. Kliknęłam na androidzie w wiadomość “Majka Video” ale nic nie pobierałam. Szybko z tego wyszłam. Czy szlag mi trafi telefon? Co mam zrobić,

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: