Ένας ιός εξαπλώνεται μέσα από το Facebook μέσω του μηνύματος «I got you a surprise…». Το μήνυμα προτρέπει τους χρήστες να επισκεφτούν ένα blog, το οποίο όμως σε μεταφέρει αυτόματα σε ένα site με την ονομασία www.free-online-fotoalbum.org/2/index.html. το οποίο είναι άδειο.Αυτό το άδειο site περιέχει μόνο ένα link που προτρέπει το χρήστη να κατεβάσει ένα άλμπουμ φωτογραφιών, το οποίο ουσιαστικά δεν είναι άλμπουμ αλλά ένα εκτελέσιμο αρχείο,(.exe), το οποίο απενεργοποιεί το τείχος προστασίας των windows, και αποκτά τον έλεγχο του υπολογιστή.
Έτσι ο υπολογιστής ή το κινητό αρχίζει να στέλνει emails και μηνύματα σε διάφορες επαφές εν αγνοία του χρήστη.
λόγο του ότι επεκτάθηκε και μέσω εμού ,εν αγνοία μου ,σας παραθέτω πάλι της οδηγίες εξάλειψης,για όσους δεν διέθεταν antivarius, και όπως εμένα την πάτησαν λόγο της περιέργειας τους να δουν την φώτο έκπληξη!!! Τουλάχιστον ίσως το πάθημα όπως εμένα, να έγινε γνώση, εφόσον σε κάθε στραβοπάτημα πρέπει να αποκομίζουμε το τι καλό έμεινε!!!! λοιπόν έχουμε:
ΒΗΜΑ #1: ΚΑΝΤΕ LOGOUT
Αν κάνετε logout, ο ιός θα χάσει πρόσβαση στο account σας και δε θα μπορεί να στείλει άλλα μηνύματα. Μην κλείσετε απλά τον browser, κάντε αποσύνδεση.
ΒΗΜΑ #2: ΣΒΗΣΤΕ ΤΟ photo.exe
Είναι το αρχείο ιός που κατεβάσατε από τη σελίδα που οδηγηθήκατε. Λογικά υπάρχει αποθηκευμένο εκεί όπου βάζετε τα downloads σας.
ΒΗΜΑ #3.1: ΣΒΗΣΤΕ ΤΑ ΠΑΙΔΙΑ ΤΟΥ photo.exe
Μόλις τρέξατε το photo.exe, δημιούργησε δύο νέα αρχεία για να κάνουν τη δουλειά του. Αυτά τα αρχεία αρχικά είχαν το όνομα 1.exe και 2.exe όμως στη συνέχεια μετονομάστηκαν σε δύο άλλα τυχαία ονόματα. Για να τα εντοπίσετε θα πρέπει να μπείτε στο φάκελο όπου έχουν αποθηκευτεί.
Στην περίπτωση που εξέτασα, τα αρχεία μπήκαν στον κρυφό φάκελο Application Data του τρέχοντος Windows account. Για να αποκτήσετε πρόσβαση σε αυτόν τον φάκελο, είτε γράψτε στο address bar: C:\Documents and Settings\USERNAME\Application Data (όπου USERNAME είναι το όνομα του account σας για τα Windows), είτε εμφανίστε τα κρυφά αρχεία και φακέλους και μετά μπείτε My Computer – Documents and Settings – USERNAME – Application Data.
(Για να εμφανίσετε τα κρυφά αρχεία, ανοίξτε το My Computer και πατήστε Tools – Folder Options – View – Hidden Files and Folders – Show hidden files and folders – OK).
Στο Application Data θα βρείτε διάφορους φακέλους όμως το μόνο αρχείο που θα πρέπει να υπάρχει χύμα είναι το κρυφό desktop.ini. Λογικά εκεί θα βρείτε δύο εκτελέσιμα αρχεία που είναι τα παιδιά του ιού. Μην τα τρέξετε! Προσπαθήστε να τα σβήσετε με Shift Delete (για να μην πάνε καν στον κάδο ανακύκλωσης) όμως αν δε σας αφήνει να σβήσετε κάποιο επειδή ήδη τρέχει, τότε πατήστε δεξί click πάνω στην μπάρα του Start και επιλέξτε Task Manager (ανοίγει επίσης και με Ctrl Alt Del). Από εκεί βρείτε το όνομα του αρχείου που δεν μπορείτε να σβήσετε (επειδή ήδη τρέχει), κάντε του δεξί click και πατήστε End Task. Μόλις κλείσει σβήστε το και σιγουρευτείτε ότι έχουν εξαφανιστεί και τα δύο από τον φάκελο
ΒΗΜΑ #3.2: ΚΑΘΑΡΙΣΤΕ ΤΟΝ ΙΟ SECURITY TOOL
Σύμφωνα με όσες πληροφορίες έχω μαζέψει ως τώρα, το πρώτο εκτελέσιμο χρησιμοποιεί το Facebook mobile messaging protocol για να εκμεταλλευτεί το Facebook session id σας και να στείλει μηνύματα σε όλους τους φίλους σας, ενώ το δεύτερο εκτελέσιμο εγκαθιστά το “Security Tool“, το οποίο σταδιακά θα καθυστερεί τον υπολογιστή σας και θα σας περιορίσει την πρόσβαση στο Web. Το δεύτερο εκτελέσιμο όμως θα ενεργοποιηθεί μόνο αφού ολοκληρωθεί η διαδικασία μαζικών μηνυμάτων του πρώτου εκτελέσιμου οπότε, με βάση αυτό, έχετε περιορισμένο χρόνο να δράσετε πριν ο υπολογιστής σας πάψει να ανταποκρίνεται.
Χρησιμοποιήστε την ελεύθερη έκδοση του Malwarebytes’ Anti-Malware ή του ComboFix αλλά προσοχή γιατί το “Security Tool” μπορεί να αναγνωρίσει τα ονόματα των αρχείων τους και να σας σταματήσει από το να τα εγκαταστήσετε. Κατεβάστε τα antivirus από έναν καθαρό υπολογιστή, βάλτε σε ένα flash USB stick, αλλάξτε τους το όνομα σε κάτι άλλο (combofix.exe -> notme.exe) και μετά εγκαταστήστε τα στον μολυσμένο υπολογιστή. Αν ο μολυσμένος υπολογιστής είναι ήδη πολύ αργός και δεν αποκρίνεται, κάντε login σε Safe Mode χρησιμοποιώντας το πλήκτρο F8 όταν φορτώνει ο υπολογιστής σας, και ξαναπροσπαθήστε από εκεί. Ο ιός “Security Tool” μπορεί να καθαριστεί εντελώς χωρίς να χρειαστείτε να κάνετε format στον υπολογιστή σας.
Και, φυσικά, μην σκεφτείτε καν να αγοράσετε το ψεύτικό antivirus που το “Security Tool” προσφέρει γιατί θα σας κλέψουν τα στοιχεία της πιστωτικής σας κάρτας.
ΒΗΜΑ #4: SCHEDULED TASKS
Τα ονόματα των αρχείων έχουν μπει και στη λίστα με τα scheduled tasks του υπολογιστή σας ώστε να εκτελούνται όποτε επιλέγουν. Παρόλο που πλέον σβήσατε τα αρχεία, είναι καλό να τα αφαιρέσετε και από τα Scheduled Tasks. Πατήστε Control Panel – Scheduled Tasks, και αφαιρέστε τα δύο tasks
ΒΗΜΑ #5: ΣΥΝΤΗΡΗΣΗ
- Αλλάξτε κωδικό στο Facebook (για παν ενδεχόμενο).
- Αδειάστε τον κάδο ανακύκλωσης.
- Καθαρίστε την προσωρινή μνήμη όλων των browsers του υπολογιστή σας (history, cookies, temporary files, κλπ).
- Ανανεώστε το antivirus σας και κάντε πλήρη έλεγχο του υπολογιστή για ιούς.
- Ανανεώστε τα Windows με τα πιο πρόσφατα updates (από το Control Panel).
- ΜΗΝ ΞΑΝΑΝΟΙΞΕΤΕ ΠΟΤΕ LINK ΠΟΥ ΔΕΝ ΕΙΣΤΕ ΣΙΓΟΥΡΟΙΕΧΕΙ ΜΕΣΑ και αν το ανοίξετε ΜΗΝ ΚΑΤΕΒΑΣΕΤΕ ΚΑΝΕΝΑ ΑΡΧΕΙΟ, ΙΔΙΩΣ ΕΚΤΕΛΕΣΙΜΟ.
Ο ιός ξεκίνησε να εξαπλώνεται 30-31 Οκτωβρίου ενώ ακόμα είναι άγνωστο από που προέρχεται. Αν μάθω κάποιο επιπλέον βήμα αφαίρεσής του θα ανανεώσω το άρθρο. Καλό κουράγιο.
Κωνσταντίνος Γκουτζής
ΥΓ1: Οι χρήστες MacOS δεν επηρεάζονται από το photo.exe (εκτός και αν τρέχουν Windows σε Bootcamp).
ΥΓ2: Αν κολλήσετε καλύτερα να βάλετε ένα status message όπου θα λέτε σε όλους να ΜΗΝ ανοίξουν τα μηνύματά σας.
ΥΓ3: Ο συγκεκριμένος ιός είναι φτιαγμένος για Windows (.exe) και τρέχει μόνο σε συσκευές με λειτουργικό σύστημα Windows. Ο λόγος που τα μηνύματα εμφανίζονται ότι στέλνονται από mobile συσκευές είναι επειδή εκμεταλλεύεται το mobile πρωτόκολλο του Facebook για να στέλνει μαζικά μηνύματα από εξωτερικό εκτελέσιμο πρόγραμμα με τη χρήση του κλεμμένου session id από τον browser. Οπότε όχι το iPhone σας δε θα γίνει zombie, επειδή δε μπορεί να τρέξει τον ιό.
ΥΓ4: Μελλοντικοί ιοί που μπορεί να μοιραστούν με τον ίδιο τρόπο μπορεί να “φροντίσουν” να απευθύνονται σε όλα τα λειτουργικά συστήματα, οπότε σε όποια συσκευή και αν κάθεστε, να προσέχετε τι ανοίγετε.
This entry was posted in Articles and tagged articles, facebook, security, surprise, virus. Bookmark the permalink.
αν κάποιος θέλει να προσπαθήσει ,πατώντας το F8 ΣΤΗΝ ΕΚΚΊΝΗΣΉ, διαλέγει την επιλογή ασφαλή λειτουργία με σύνδεση (safe mode), και ψάχνει για τα κρυφα αρχεία,, εμένα είχαν τα εξής ονόματα!!! hgrp.exe kai luc.exe
Από τις επιλογές φακέλων όμως πρέπει να τσεκάρει να εμφανίζονται τα κρυφά αρχεία ,... που θα τα βρείτε στην διαδρομή C:\ χρήστες\ονομά υπολογιστη\appdata
ΓΙΩΡΓΟΣ ΓΚΙΑΦΗΣ ΓΙΑ ΝΑ ΤΣΕΚΑΡΕΤΕ ΝΑ ΑΝΟΙΓΟΥΝ ΤΑ ΚΡΥΦΑ ΑΡΧΕΙΑ ΣΕ ΕΛΛΗΝΙΚΑ WINDOWS ,ΑΝΟΙΓΩΝΤΑΣ ΤΗΝ ΕΞΕΡΕΥΝΗΣΗ, ΕΠΙΛΕΓΟΥΜΕ ΤΟ ΟΡΓΑΝΩΣΗ ΕΠΑΝΩ ΑΡΙΣΤΕΡΑ, ΚΑΙ ΣΤΙΣ ΕΠΙΛΟΓΕΣ ΠΑΤΑΜΕ ΕΠΙΛΟΓΕΣ ΦΑΚΕΛΩΝ ΚΑΙ ΜΕΤΑ ΠΡΟΒΟΛΗ: ΚΑΤΩ ΚΑΤΩ ΘΑ ΒΡΕΙΤΕ ΤΟ ΝΑ ΤΣΕΚΑΡΕΤΕ ΤΗΝ ΕΜΦΑΝΙΣΗ ΚΡΥΦΩΝ ΑΡΧΕΙΩΝ
ΓΙΩΡΓΟΣ ΓΚΙΑΦΗΣ ΓΙΑ ΝΑ ΤΣΕΚΑΡΕΤΕ ΝΑ ΑΝΟΙΓΟΥΝ ΤΑ ΚΡΥΦΑ ΑΡΧΕΙΑ ΣΕ ΕΛΛΗΝΙΚΑ WINDOWS ,ΑΝΟΙΓΩΝΤΑΣ ΤΗΝ ΕΞΕΡΕΥΝΗΣΗ, ΕΠΙΛΕΓΟΥΜΕ ΤΟ ΟΡΓΑΝΩΣΗ ΕΠΑΝΩ ΑΡΙΣΤΕΡΑ, ΚΑΙ ΣΤΙΣ ΕΠΙΛΟΓΕΣ ΠΑΤΑΜΕ ΕΠΙΛΟΓΕΣ ΦΑΚΕΛΩΝ ΚΑΙ ΜΕΤΑ ΠΡΟΒΟΛΗ: ΚΑΤΩ ΚΑΤΩ ΘΑ ΒΡΕΙΤΕ ΤΟ ΝΑ ΤΣΕΚΑΡΕΤΕ ΤΗΝ ΕΜΦΑΝΙΣΗ ΚΡΥΦΩΝ ΑΡΧΕΙΩΝΚ ΑΛΗ ΣΑΣ ΕΠΙΤΥΧΕΙΑ, ΑΝ ΘΕΛΕΤΕ ΚΑΤΕΒΑΣΤΕ ΚΑΙ ΤΟ ΔΩΡΕΑΝ ΓΙΑ ΕΝΑ ΜΗΝΑ,
ANTIVARIUS AVAST http://download.procello.de/redirect.php?link_id=105
υπαρχει περιπτωση ο ιοσ να μπλοκαρει την προβολη ταινιων με σφάλματα του explorer; Βασικά ακόμα και όταν ανοίγω τα έγγραφά μου μου πετάγεται οτι ο φάκελος δεν αποκρίνεται... και πρέπει να κάνω τερματισμό λειτουργίας...εχεις καμια ιδέα του τι μπορεί να φταίει; Ευχαριστώ.
ΑπάντησηΔιαγραφήΕΑΝ ΕΧΕΙΣ ΑΦΑΙΡΕΣΕΙ ΤΑ 2 ΚΡΥΦΑ ΑΡΧΕΙΑ, ΚΑΙ ΔΙΕΓΡΑΨΕΣ ΤΟ ΣΕΚΙΟΥΡΙΤΥ ΤΟΥΛ, ΧΡΕΙΑΖΕΤΑΙ ΚΑΙ ΜΙΑ ΣΑΡΩΣΗ ΜΕ ΚΑΠΟΙΟ ΑΝΤΙΒΑΡΙΟΥΣ, ΠΟΥ ΛΟΓΙΚΑ ΘΑ ΚΑΘΑΡΙΣΕΙ ΠΛΗΡΩΣ ΤΟΝ ΥΠΟΛΟΓΙΣΤΗ!
ΑπάντησηΔιαγραφήΕΑΝ ΕΙΧΕΣ ΑΦΗΣΕΙ ΑΡΚΕΤΟ ΔΙΑΣΤΗΜΑ ΟΜΩΣ ΤΟΝ ΙΟ, ΜΕ ΤΟΝ ΥΠΟΛΟΓΙΣΤΗ ΣΕ ΛΕΙΤΟΥΡΓΕΙΑ ΙΣΩΣ ΣΟΥ ΕΧΕΙ ΚΑΤΑΣΤΡΕΨΕΙ ΚΑΠΟΙΑ ΑΡΧΕΙΑ, ΚΑΙ ΣΟΥ ΠΑΡΟΥΣΙΑΖΟΝΤΑΙ ΑΥΤΑ ΤΑ ΠΡΟΒΛΗΜΜΑΤΑ