Przenoszenie wirusów przez portale społecznościowe to nie nowość. W końcu każde medium jest dobre, aby skazić cały wszechświat, nieprawdaż? Facebook jest tym mocno przesycony i staram się pisać o każdym, większym zagrożeniu, abyście mieli świadomość, że chwila nieuwagi może spowodować zakażenie waszego komputera. W sieci pojawił się news dotyczący kolejnego zagrożenia na „niebieskim” social media. Myślę, że warto zwrócić na niego uwagę, ponieważ to zagrożenie dotyczy funkcjonalności, która z pozoru nie powinna być niebezpieczna. A jednak?

Zagrożone są powiadomienia, w których ktoś odznaczył danego użytkownika (np.: w komentarzu). Cześć z nich jest generowana przez zainfekowane komputery waszych znajomych. Można powiedzieć, że jest to swojego rodzaju „botnet„. Ofiarami robaka padła znaczna liczba naszych rodaków. Na dodatek niestety, wirus posiada całkiem dobry mechanizm replikowania.

Wszystko zaczyna się od informacji na Facebooku, jakoby ktoś ze znajomych odznaczył nas w komentarzu.

Jeżeli klikniemy, w to powiadomienie wygeneruje to link, który przekieruje nas do pobrania pliku z rozszerzeniem JSE. Plik zabiera kod źródłowy, który po uruchomieniu go, dzięki Windows Script Host, uaktywnia funkcję droppera, która z poniższych URLs pobiera złośliwe oprogramowanie. Złośliwe dodatki maskują się, jako pliki z rozszerzeniem JPG, ale tak naprawdę to szkodliwe pluginy do browsera, albo pliki, które pakują się w auto uruchomienie systemu. Robak nie tylko rozsyła złośliwe powiadomienia na Facebooku poprzez tagowanie znajomych ofiary w komentarzach, ale również wysyła złośliwe linki przez Messengera. Potrafi także w naszym imieniu publikować wpisy na tablicy.

Nie jest to jednak koniec niespodzianek. Na tę chwilę tak naprawdę jeszcze nie robi to nic aż tak mocno złego. Robak ma jednak jeszcze funkcję ransomware.

Co to oznacza, zapewne już wiecie. Robak zaszyfruje wam dysk i zażąda okupu za jego odszyfrowanie. Robak ma te,z funkcję blacklistowania pewnych domen i jest w stanie komunikować się przez facebookowy komunikator. Może poprzez to filtrować nasze rozmowy, a co za tym idzie, ostrzeżenia, jakie będziemy chcieli rozesłać do znajomych. Niestety, niewiele antywirusów radzi sobie z tym zagrożeniem. Na pewno nic nie grozi posiadaczom innych systemów operacyjnych niż Windows. Nie grozi to także tym, którzy nie uruchomią pliku JSE. Jeśli na powyższe rady jest za późno i jesteś zainfekowany — zamknij browsera i usuń pliki ze swojego komputera (katalog %appdata%) oraz cały katalog z przeglądarką i jej rozszerzeniami. Pliki do usunięcia to z %appdata% to:

  • autoit.exe
  • bg.js
  • ekl.au3
  • ff.zip
  • force.au3
  • manifest.json
  • ping.js
  • ping2.js
  • run.bat
  • sabit.au3
  • up.au3

PJ
Przemek jest mózgiem operacyjnym SpeedTest.pl. Studiował na Politechnice Wrocławskiej elektronikę i telekomunikację. Zarządza projektami IT, relacjami z klientami oraz nadzoruje procesy rozwoju. Prywatnie zaangażowany w rodzinę, wsparcie różnych działalności charytatywnych i projekty ekstremalne.