Robak na Facebooku błyskawicznie zaraża użytkowników Windowsa
Coraz więcej kont polskich użytkowników Facebooka zostajezainfekowanych przez nowego, pomysłowego robaka, który nie tylkooznacza ofiary poprzez powiadomienie o wspomnieniu w komentarzu, aleteż wykorzystując błąd w serwisie fałszuje link tego komentarza.Kto kliknie – i korzysta z Windowsa – może liczyć na różne„atrakcje”, włącznie z zaszyfrowaniem jego plików.
26.06.2016 21:12
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Cyberprzestępcom udało się bowiem podmienić standardową formęadresu URL komentarza w Facebooku. Link prowadzi do domeny DokumentówGoogle, gdzie przechowywany jest plik zawierający złośliwy kodJavaScriptu z rozszerzeniem .jse. Jego pobranie i kliknięciepowoduje uruchomienie w środowisku Windows Scripting Host normalnegodroppera, który bierze się za pobranie kilkunastu obrazków .jpg.
Niestety to nie są obrazki, tylko kolekcja zamaskowanych plikówinfekujących system i przeglądarkę. Po zainfekowaniu robaknatychmiast zaczyna publikować wpisy na tablicy ofiary z linkiemprowadzącym do malware, oznaczać znajomych użytkownika wkomentarzach, a także wysyłać znajomym uzłośliwione linki przezczat Facebooka.
Trudno ocenić skalę zarażenia – robak szybko mutuje i zmieniastosowane domeny ze złośliwym kodem. Kilka z nich zostało jużzablokowanych przez Google, ale pojawiły się kolejne. Tym razem niewypowiemy sakramentalnej formułki o regularnym aktualizowaniuWindowsa i antywirusa, bo to nic w tym wypadku nie daje. Większośćantywirusów wydaje się póki co nie wykrywać zagrożenia, wśródtych, które sobie radzą, jest Kaspersky i AVG. Na pewno robakzagraża tylko użytkownikom Windowsa – posiadacze Maków, maszyn zLinuksem, czy urządzeń mobilnych z Androidem i iOS-em sąbezpieczni.
Jak się więc chronić?
Na szczęście malware nie potrafi uruchomić się samo.Pamiętajcie, by nie klikać w żadne pliki z rozszerzeniem .jse.Jeśli jednak już to przypadkiem zrobiliście, to należy jaknajszybciej wyłączyć komputer, uruchomić go z zewnętrznegonośnika z innym systemem, i usunąć z kataloguC:\Users\nazwauzytkownika\AppData następujące pliki: autoit.exe,bg.js, ekl.au3, ff.zip, force.au3, manifest.json, ping.js, ping2.js,run.bat, sabit.au3, up.au3. Jeśli zrobicie to szybko, unikniecieutraty swoich danych, wygląda bowiem na to, że robak szyfruje je,by zażądać okupu.
Kod robaka został już odciemniony. Zainteresowani mogą goobejrzeć tutaj (tobezpieczny link).