Vir na Facebooku ovládne Vaši timeline

Co dělat, když vir napadne Váš Facebook účet

Dnes jsem narazil na zajímavou anomálii ve svých příspěvcích přátel.

Napadl váš Facebook vir?

Tento článek popisuje jednu specifickou situaci. Pokud máte jiný problém, nebo nevíte, jak se napadení zbavit, využijte naši placenou službu.

Analýza a pomoc při napadení Facebook virem

Pro velký zájem o asistenci při vyřešení tohoto napadení facebook virem, jsme zpoplatnili tuto službu revize počítače na dálku částkou 790 Kč. Pokud máte zájem o naši revizi napište do chatu a domluvíme se na způsobu spolupráce.

Nejčastější napadení virem

Jelikož se to z počátku zdálo být jako další pozvánka na akci, které většinou (z 99%) ignoruji, nevěnoval jsem tomu až takovou pozornost. Zábava však začla, když jsem kliknul na odkaz a uviděl krásně padělaný účet YouTube, jehož účelem udělat na mě dojem, že si musím updatovat YouTube účet .EXE souborem co se mi po kliknutí stáhnul do počítače – ano, takto se k Vám dostávají viry z internetu – nainstalujete si je obvykle dobrovolně, protože jste byli oklamáni.

Takto vypadalo příchozí oznámení – facebooková klasika, jste ve skupině několika lidí, mezi kterými daná osoba, kterou máte v přítelích, sdílí nějaký obsah.

facebook-podvod1

První podezřelá věc je vágní čeština příspěvku. V momentě, kdy Vám osoba s českým jménem a profilem „zřejmě i existující“ pošle sdílený příspěvek, kde bude zkomolená čeština, měl by to být první vykřičník, že za tohoto člověka jedná automatizovaný robot, který definovaný text pouze překládá z napadeného počítače po zjištění v jakém jazyce Facebook účet oběť má.

omg někdo vyslán svou nahou vlastní video na YouTube  ,2 — s uživatelem Irena Vaňková a dalšími (19).

Pokusil jsem se přes Google překladat přeložit do zřejmě původní anglické verze a trefa, už to dává i smysl:

omg someone posted their own nude video on YouTube 2 – Irena Vaňková with the user and other (19).

facebook-podvod2

Při kliknutí na sdílený odkaz se dostanete na zajímavou stránku, která podezřele věrně připomíná YouTube účet. Ale není tomu tak. Jedná se o napodobeninu. Link směřuje na: URL ve zkráceném tvaru (asi kvůli odhalení): http://ow.ly/3qkotc tento link se následně přesměruje na http://fiddle.jshell.net/v5sfgze5/show/?uid=1675956014&885733 (tohle je zřejmě vývojové prostředí, ve kterém se prográmek udělal – přes doménu http://fiddle.jshell.net) – tento link jsem zachytil náhodně při zastavení přesměrovávání, které trvalo a link byl viditelný na chvíli. Výsledný link a cílová stránka je: http://youtube-com-watch-latest-leaked-video.blogspot.cz/?uid=1675956014

facebook-podvod3

Výsledná stránka simuluje vzhled YouTube kanálu, simuluje tlačítka a klikátka, která však po kliknutí nefungují, jen to tak hezky vypadá a má to na první pohled přesvědčit neznalého, že skutečně na YouTube je. Primární účel této Facebook zprávy je vyvolat poplašnou zprávu, že „někdo“ má nějaké nahé video na YouTube, psychologicky vyvolá zájem o obsah, uživatel nadšeně kliká a chce se dostat co nejkratší cestou k videu. Na této stránce ho však zastaví výstraha, že video nelze přehrát. To se údajně vyřeší, když si stáhnete a nainstalujete „Video Player“ (neznámé značky) – a ano, jedná se o vir, nikoli o program, který by Vám pomohl.

Demonstrativně jsem kliknul (spíš odvážně) a do počítače se mi stáhnul údajný „Video Player“ (následně jsem vymazal). Obrázek demonstruje jak vše proběhlo.

facebook-podvod4

Podrobil jsem útočnou stránku dalšímu testu a z jejího linku jsem odstranil ID.

Původní stránka: http://youtube-com-watch-latest-leaked-video.blogspot.cz/?uid=1675956014

Upravený link: http://youtube-com-watch-latest-leaked-video.blogspot.cz

Stránka o sobě prozradila sofistikovaný systém, který se umí přizpůsobit mnoha různým profilům tak, aby Vám připomínali známou osobu z přátel. Na místo YouTube avataru se dosadí fotografie oběti napadeného Facebook profilu a doplní se i jméno. Z toho plyne, že se jedná o sofistikovaný vir, který umí sejmout Vaše soukromé informace na Facebooku a dostat se k Vašemu profilu.

facebook-podvod5

 

Když jsem se podíval na účet napadeného uživatele na Facebooku (kterého jsem tedy neznal – ano mám i takové na facebooku, které osobně neznám), nalezl jsem na jeho Timeline vytapetováno pozvánkami, které za něj v dávkách odesílá stáhnutý vir.

facebook-podvod6

Každopádně to vypadalo jako uměle vytvořený profil, ale po důkladném prozkoumání jsem objevil i rodinné fotografie – jednalo se o reálný profil. Uživatele jsem kontaktoval a s jeho souhlasem zveřejňuji konverzaci:

Filip Novák
Zdravím
jste tu?

Marek Modrovič
Dobrý večer ano jsem

Filip Novák
Přišla mi od Vás zvláštní pozvánka, mrkněte na svou zeď, posíláte to Vy, nebo nějaký robot?

Marek Modrovič
no právě neposílám nevím kde se to vzalo

Filip Novák
Píšu o tom článek na www.silainternetu.cz nebude Vám to vadit? Jedná se o vir, který zřejmě napadnul Váš počítač, dostal se k Vašemu profilu facebooku a zneužil Vaši identitu k rozesílání falešného videa na falešném účtu youtube (jen chytrácky ukradený design youtube, jinak podfuk). Výsledkem akcí je stažení .exe souboru, který je zřejmě pod zástupným názvem „Video Player-v3-7.exe“ Také tentýž vir.

Marek Modrovič
ne vůbec nevadí akorát nevím co ted s tím nemůžu to ani smazat z timeliu
timelinu

Filip Novák
Zkusím Vám pomoci. Jaký používáte antivir?

Marek Modrovič
ted ani nevím přesně lenovo solution
avast mám pocit

Filip Novák
Můžete zkusit udělat nějaký rychlý sken systému? Případně můžete stáhnout docela dobrý antivir přímo od Microsoft, který používám také, zde: http://windows.microsoft.com/cs-cz/windows/security-essentials-download
Microsoft Security Essentials – Microsoft Windows
windows.microsoft.com
Zjistěte, jak Microsoft Security Essentials pomáhá chránit počítač před viry, spywarem a jiným škodlivým softwarem, a zadarmo si Microsoft Security Essentials stáhněte.

Filip Novák
Dále můžeme zkontrolovat povolené aplikace, které máte na facebooku, tam se může útočník také nacházet.

Marek Modrovič
dobře zkusím stáhnout
omlouvám se nejsem moc talent přes počítač
většinou mi to dělá kamarád

Filip Novák
1. klikněte vpravo na menu facebooku na malý zámeček
2. klikněte na spodní položku v zobrazeném menu „Zobrazit další nastavení“
3. na zobrazené stránce uvidíte nové menu v levé liště a tam zhroba uprostřed naleznete odkaz na „Aplikace“, klikněte a zkuste mi poslat, jaké aplikace máte povolené a neznáte je.

Marek Modrovič
dobře
Out of this world!
FitnessMeter
PicBadges
Toolbar Widget

Filip Novák
Děkuji, projdu si to. Pokusíte se prosím spustit rychlý sken na antiviru? Pokud budete potřebovat poradit, napište.

Marek Modrovič
moc děkuju a přeju hezký zbytek večera

Filip Novák
Za málo, také přeji hezký večer. Děkuji za informace.

Marek Modrovič
tak když jsem to stáhnul tak mi to napsalo,že není potřeba ,že už mám podobný program windows 8.1 kerý je výborný

Filip Novák
tak ok, zkuste ten který máte

Závěr

Detekování původce viru lze zjistit skenem antivirového programu, dále se můžete podívat do rozšíření svého prohlížeče, do soukromí svého Facebooku – aplikace.

Oficiální postup k odstranění je na stránkách Facebooku: https://www.facebook.com/help/226527600691713 Kdyby odkaz nafungoval, níže jsem zkopíroval informace z Facebooku:

Jak Facebook zjistí, že mám v počítači vir? Proč potřebujete skenovat můj počítač?

Detekovali jsme podezřelé způsoby používání vašeho účtu. Tyto způsoby naznačují, že váš počítač může být infikován malwarem. Váš účet i soubory v počítači budou v bezpečí, pokud systém zkontrolujete a vyčistíte.

Jakmile s uživatelem zjistíme původ jeho útočného viru, updatuji tento příspěvek. Díky, že jste dočetli až sem, pokud jste se setkali také s podobným virem, napište pod tento příspěvek, rád pomohu s řešením, nebo se seznámím s novým virem/způsobem napadení. Chráníme se tím navzájem. Díky!

Diskuze k článku: 20 “Vir na Facebooku ovládne Vaši timeline

  1. Svatopluk Šroubek napsal:

    Dnes, 15.12.2015 došlo u profilu mojí manželky na Facebooku k pokusu ze strany neznámé třetí osoby o rozesílání tzv. prázdného spamu, který ale jiné osoby ani přátelé neviděli. Přitom v inkriminovaném čase cca. 10:00 až 10:25 hod. manželka na svém facebookovém účtu vůbec nebyla sama ze svého počítače přihlášena. Nyní skenujeme její počítač, zda nemá sám v sobě viry. Pokud ne, pak někdo cizí musel ukrást data k jejímu účtu. V zájmu zablokování přístupu této nežádoucí osobě, aby tato nemohla přes tento účet šířit viry, bude pak nutno změnit manželčino přihlašovací heslo. Nicméně, s tím, že by byl šířen z nějakého účtu spam, který by jiní ani neviděli (tj. spamové zprávy by nebyly na jejich timeline přítomny), jsem se setkal poprvé. Zřejmě jde o jakýsi test hackera, zda je možno tímto způsobem s ukradenými daty spolehlivě šířit viry. Jinak si to vysvětlit nedovedu.

  2. Filip Novák napsal:

    Dobrý den, prázdný spam, jak to vypadá? Slyším o tom poprvé.

  3. Hana napsal:

    Dobrý den. Asi mě potkalo něco velmi podobného. Na mém profilu se začala objevovat lascivní videa, která byla mnou bez mého přičinění sdílena mým „přátelům“ a skoro nešla odstranit, někdy ano, jindy ne, objevují se mi tu i zpětně už odstraněná. Můj účet se chová divně, jeho tlačítka se přemisťují na podivná místa. U videí je popisek BIT.LY a název videa vždy „oh my god“. Zkusila jsem jeho link otevřít v novém okně a samozřejmě se hned stáhne exe soubor. Ten jsem smazala a zablokovala všechno co šlo v sekci soukromí, ale velký efekt to nemělo. Mám pocit, že se to vždy při dalším vpádu trochu změní, jako by to opravdu někdo testoval, jak píše pán přede mnou. Také když na ten link stoupnu, jeho popisek se mění zatím asi na tři různé varianty. Co je to za šmejd? Jak tu osobu najít a nařezat jí na zadek? Poraďte mi prosím:-)

  4. Ondřej Kolařík napsal:

    Dobrý den.

    Uživatelům Facebooku na mém PC se rozesílá odkaz s nevhodným obrázkem a když na to kliknu nic se nestane. Navíc to označuje mé přátele a stane se to vždy, když zapnu Facebook. Žádný antivir, ani nic jiného nic nenašlo. Už si nevím rady.

    Předem děkuji za odpověď

  5. Filip Novák napsal:

    Dobrý den, to není vir v počítači, ale aplikace co jste schválil na fb. Mrkněte do nastavení.

  6. Ondřej Kolařík napsal:

    Ale já nic neschvaloval. Mohl byste mi prosím říci kde v nastavení to je? Děkuji

  7. Ondřej Kolařík napsal:

    Když jsem zkoušel vytvořit si nový FB. Rozeslalo to taky.

  8. Filip Novák napsal:

    Pak si to zaslouží hlubší investigaci a přímo připojení k Vám abych se mohl podívat. Bohužel není možné tyto instrukce posílat do diskuzí. To by bylo na dlouho.

  9. Ondřej Kolařík napsal:

    Dobře chcete můj Facebook?

  10. Ondřej Kolařík napsal:

    Myslím tím přihlašovací údaje.

  11. Filip Novák napsal:

    Pro tuto práci se můžeme domluvit na emailu info@silawebu.cz zde objednávky pouze přebírám. Děkuji

  12. Josef Vencl napsal:

    Dobrý večer. Nejsem si jistý, ale zřejmě jsem narazil na něco podobného. V mém případě šlo o napadený účet mé kamarádky, která „prohlásila, že byla se mnou a dalšími“, neslušný odkazující obrázek na adresu zkrácenou (tuším) přes bit.li.

    Přes moji zeď se nákaza dostala na PC mé spolupracovnice. Její disk jsem zapojil externě a prověřil v NODu. Při druhém skenu jsme našli 15 infikovaných souborů, z nichž většina byla ve složkách antiviru Comodo.

    Následovalo přeinstalování antiviru, zakázání doplňků v Chrome, odinstalování aplikací z FB a změna přístupového hesla.

    Odkazovaný soubor se jmenuje a je to javascriptový kód. Zvláštní je, že ačkoli od incidentu u mne uběhl více než týden, na internetu jsem nic podobného nenašel.

    Počítač jsem odevzdal zpět, ale již ten večer jsem musel telefonovat, že už zas něco posílá. Pak už spojená aktivita přátel přinutila FB k zablokování uživatelského účtu uživatelky a po půl hodině identifikování fotek (tak je na FB možné účet odblokovat) se známá rozhodla nechat účet zablokovaný nebo jej smazat.

    Antivirus procházel bez problémů (AVG), Chrome se nicméně nechtěl spustit, protože nenašel složku s uživatelským profilem – …AppData/Mozilla… – to asi není standardní umístění, ale je to jediné vodítko.

  13. Filip Novák napsal:

    Zkontrolovali jste i soubor hosts?

  14. Aneta napsal:

    Co mám dělat, když mi někdo poslal zprávu, taky to vypadalo jako odkaz na youtube, pak se mi objevovaly na timeline odkazy na video s moji profilovou fotkou s názvem 18+ nebo tak nějak. To jsem smazala, ale horší bylo, že se mi tyhle zprávy neustále posílaly a nešlo je smazat, odstranit konverzaci ani označení, navíc se to začalo posílat mým přátelům ode mě, ti s tím taky nemohli nic dělat. Nakonec jsem si účet zablokovala, ale ráda bych to nějak napravila, ale bojím se, že jakmile se přihlásím, spustí se to znovu. Co mám dělat???

  15. katka napsal:

    Mě se včera stalo to samé! Vše jsem nahlásila fb…. kamarádi taky že je to spam… tak mě FB vyhodil… nainstalovala jsem ten program co mi fb přímo nabídl….a snad už bude klid ale mám strach že je to v pc. A vytvořili se mi nesmyslné stránky s písmeny a čísly a nejdou smazat protože nejsou dotvořené jen jakoby napsány názvy… Co s tím ? Díky

  16. Zuzana napsal:

    Dobrý den, mám ten samý problém, účet na facebooku rozesílá sám mým přátelům sprostá videa, nevím, jak to zastavit.

  17. Táňa napsal:

    Dobrý den od včerejška mám také problémy se připojit k facebooku podle rady facebooku jsem změnila heslo ale stejně se nemůžu připojit pak mi to píše že počítač byl napaden malwarem do emailů se dostanu ale na facebook ne počítač je chráněn antivirem nevim si s tím rady děkuji

  18. Filip napsal:

    Dobrý den, mám vcelku závažný problém s facebookovým účtem. Někdo se na něj napojil z cizího pc a posílá z něj zprávy mým jménem, zejména mé přítelkyni )ve smyslu že ji nemiluji a tak podobně) a mění informace v mém profilu. Zkusil sem zvýšit zabezpečení dle pokynů na fb, nastavil jsem si zasílání hesel při připojení z neznámého místa a smazal všechny dosavadní přístupy, bohužel nic nepomohlo. Nemáte nějakou radu co s tím, jak to vyřešit. Ničími to život a hlavně vztah.

  19. Filip Novák napsal:

    Detaily takového napadení účtu nemohu analyzovat v rámci komunikace v komentářích. Zašlete mi detaily na email, podívám se.

Zapojte se do diskuze

Váš email nebude zveřejněn. Povinná pole jsou označena hvězdičkou *