Robak na Facebooku błyskawicznie zaraża użytkowników Windowsa

Robak na Facebooku błyskawicznie zaraża użytkowników Windowsa

Robak na Facebooku błyskawicznie zaraża użytkowników Windowsa
26.06.2016 21:12

Coraz więcej kont polskich użytkowników Facebooka zostajezainfekowanych przez nowego, pomysłowego robaka, który nie tylkooznacza ofiary poprzez powiadomienie o wspomnieniu w komentarzu, aleteż wykorzystując błąd w serwisie fałszuje link tego komentarza.Kto kliknie – i korzysta z Windowsa – może liczyć na różne„atrakcje”, włącznie z zaszyfrowaniem jego plików.

Cyberprzestępcom udało się bowiem podmienić standardową formęadresu URL komentarza w Facebooku. Link prowadzi do domeny DokumentówGoogle, gdzie przechowywany jest plik zawierający złośliwy kodJavaScriptu z rozszerzeniem .jse. Jego pobranie i kliknięciepowoduje uruchomienie w środowisku Windows Scripting Host normalnegodroppera, który bierze się za pobranie kilkunastu obrazków .jpg.

Obraz

Niestety to nie są obrazki, tylko kolekcja zamaskowanych plikówinfekujących system i przeglądarkę. Po zainfekowaniu robaknatychmiast zaczyna publikować wpisy na tablicy ofiary z linkiemprowadzącym do malware, oznaczać znajomych użytkownika wkomentarzach, a także wysyłać znajomym uzłośliwione linki przezczat Facebooka.

Trudno ocenić skalę zarażenia – robak szybko mutuje i zmieniastosowane domeny ze złośliwym kodem. Kilka z nich zostało jużzablokowanych przez Google, ale pojawiły się kolejne. Tym razem niewypowiemy sakramentalnej formułki o regularnym aktualizowaniuWindowsa i antywirusa, bo to nic w tym wypadku nie daje. Większośćantywirusów wydaje się póki co nie wykrywać zagrożenia, wśródtych, które sobie radzą, jest Kaspersky i AVG. Na pewno robakzagraża tylko użytkownikom Windowsa – posiadacze Maków, maszyn zLinuksem, czy urządzeń mobilnych z Androidem i iOS-em sąbezpieczni.

Jak się więc chronić?

Na szczęście malware nie potrafi uruchomić się samo.Pamiętajcie, by nie klikać w żadne pliki z rozszerzeniem .jse.Jeśli jednak już to przypadkiem zrobiliście, to należy jaknajszybciej wyłączyć komputer, uruchomić go z zewnętrznegonośnika z innym systemem, i usunąć z kataloguC:\Users\nazwauzytkownika\AppData następujące pliki: autoit.exe,bg.js, ekl.au3, ff.zip, force.au3, manifest.json, ping.js, ping2.js,run.bat, sabit.au3, up.au3. Jeśli zrobicie to szybko, unikniecieutraty swoich danych, wygląda bowiem na to, że robak szyfruje je,by zażądać okupu.

Kod robaka został już odciemniony. Zainteresowani mogą goobejrzeć tutaj (tobezpieczny link).

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (137)