O wirusie, który od niedzieli 20 listopada zaczął działać na Facebooku, pisał serwis Niebezpiecznik.pl. Wiele osób korzystających z popularnego serwisu społecznościowego otrzymało w ostatnim czasie od znajomych na czacie plik przypominający zdjęcie.
"Blokowanie złośliwego oprogramowania trwa, a każdy kto podejrzewa, że jego komputer został zainfekowany powinien użyć antywirusowego programu. Nasze zespoły zajmujące się bezpieczeństwem pracują nad zablokowaniem złośliwego oprogramowania. Zalecamy unikanie podejrzanych rozszerzeń do przeglądarek. Każdy, kto podejrzewa, że jego komputer został zainfekowany powinien przeskanować komputer programem antywirusowym" – czytamy w oświadczeniu wydanym przez biuro prasowe Facebook Polska.
Działanie wirusa
Osoby, które padły ofiarą agresywnego wirusa, otrzymywały wiadomości z załącznikiem o nazwie wskazującej, ze jest to plik zdjęciowy. Był on zapisany w formacie .svg, a w każdym przypadku nazwa pliku rozpoczynała się od "photo_xxxx.svg", gdzie zamiast "xxxx" występował losowy ciąg cyfr.
Po pobraniu pliku następuje sekwencja przekierowań, a jeżeli użytkownik postępuje zgodnie z instrukcjami, trafia na portal przypominający serwis YouTube. Tam z kolei pojawia się wiadomość o potrzebie zainstalowania dodatkowego "kodeka video", a strona podsuwa do pobrania złośliwy dodatek do przeglądarki. Dodatek "Ubo" uzyskuje pełne uprawnienia do wszystkich witryn, które są otwierane w przeglądarce. Umożliwia to prowadzenie dalszych ataków z kont ofiary, a także kradzież danych.
Jak sobie radzić?
Rozszerzenia nie da się usunąć z poziomu przeglądarki. Jak informuje portal Niebezpiecznik.pl, jedyną możliwością jest usunięcie wtyczki ręcznie. W przypadku korzystania z przeglądarki Chrome, najpierw należy przejść do jej katalogu w systemie, a następnie odnaleźć plik o nazwie “jegjfinhocnmomhpgmnbjambmgbifjbg“ w katalogu:
- użytkownicy Windows 7, 8.1, i 10:C:UsersAppDataLocalGoogleChromeUser DataDefault
- użytkownicy - Mac OS X El Capitan:Users//Library/Application Support/Google/Chrome/Default
- użytkownicy Linux:/home//.config/google-chrome/default
Kolejnym krokiem jest wyłączenie przeglądarki, przejście do katalogu “Extensions” i usunięcie katalogu o nazwie “jegjfinhocnmomhpgmnbjambmgbifjbg“. Serwis Niebezpiecznik.pl rekomenduje również wymianę haseł oraz wylogowanie się z serwisów, z których użytkownicy korzystali podczas pobierania pliku. Więcej informacji oraz screeny na stronie Niebezpiecznik.pl