”Facebook Messenger -viruksen” poisto-opas
Mikä on ”Facebook Messenger -virus”?
”Facebook Messenger -viruksen” löysi Ido Naor. Verkkorikolliset käyttävät sitä levittääkseen FormBookia, troijantyyppistä ohjelmaa, lähettämällä erilaisia tiedostoja Facebook Messengerin kautta. Jos nämä tiedostot avataan, ne aiheuttavat edellä mainitun haittaohjelman asennuksen.
Tyypillisesti ihmiset saavat nämä tiedostot Facebook-kavereiltaan, jotka ovat asentaneet roskapostia lähettäviä ei-toivottuja (haitta)ohjelmia. Esimerkissämme Messenger-viestiin liitetty tiedosto on ”video_13925.bz”. Tämä arkisto sisältää toisen tiedoston (”play_75367031.mp4.com”), joka voidaan purkaa 7-Zipillä. Jos se avataan, se lataa ja asentaa FormBook-troijalaisen. Tämä ohjelma varastaa henkilökohtaisia tietoja. Sen avulla verkkorikolliset voivat tallentaa näppäinpainalluksia ja leikepöydän tietoja, ottaa kuvakaappauksia, varastaa tallennettuja salasanoja/tunnuksia ja niin edelleen. Osa varastetuista tiedoista voi sisältää pankkitietoja. Verkkorikolliset käyttävät kaikkia varastettuja tietoja tulojen hankkimiseen. Heidän uhrinsa kokevat yleensä ongelmia, jotka liittyvät talouteen (taloudellisiin menetyksiin), selaamisen turvallisuuteen, yksityisyyteen ja muihin ongelmiin. FormBookia saatetaan käyttää myös muiden ohjelmien lataamiseen ja asentamiseen, jolloin uhrit voivat saada tietokoneelleen muita haittaohjelmia, kuten kiristysohjelmia. Jos tietokone on saanut FormBook-tartunnan, se on poistettava välittömästi.
| Nimi | Facebook Messenger -roskapostivirus |
| Uhkatyyppi | Troijalainen, Salasanan varastamisvirus, Pankkitoimintaa haittaava haittaohjelmisto, Vakoiluohjelma. |
| Liitetiedosto(t) | Erilaisia arkistotiedostoja (esim, ”video_13925.bz”) |
| Havaintotunnukset (video.exe) | Avira (TR/Autoit.oftwi), BitDefender (Trojan.GenericKD.41240919), ESET-NOD32 (muunnos Win32/Autoit.OHP), Kaspersky (UDS:DangerousObject.Multi.Generic), Täydellinen havaintoluettelo (VirusTotal) |
| Oireet | Troijalaiset on suunniteltu soluttautumaan vaivihkaa uhrin tietokoneelle ja pysymään hiljaa. Näin ollen tartunnan saaneessa koneessa ei näy selvästi mitään erityisiä oireita. |
| Payload | FormBook-troijalainen |
| Levitysmenetelmät | Tartunnan saaneet sähköpostin liitetiedostot, haitalliset online-mainokset, sosiaalinen insinööritoiminta, ohjelmistojen halkeamat. |
| Vahingot | Varastetut pankkitiedot, salasanat, identiteettivarkaus, uhrin tietokone lisätään botnetiin. |
| Haittaohjelmien poisto (Windows) |
Kaikkien mahdollisten haittaohjelmatartuntojen eliminoimiseksi skannaa tietokoneesi laillisella virustorjuntaohjelmalla. Tietoturvatutkijamme suosittelevat Malwarebytesin käyttöä. |
FormBook on vain yksi monista troijantyyppisistä ohjelmista. Esimerkkejä muista vastaavista haittaohjelmista ovat Adwind, TrickBot, Tefosteal ja LokiBot. Troijalaiset yleensä varastavat luottamuksellisia, henkilökohtaisia tietoja/tietoja ja levittävät muita tartuntoja. Niiden saastuttama tietokone johtaa yleensä vakaviin ongelmiin.
Miten ”Facebook Messenger -virus” on saastuttanut tietokoneeni?
Tässä nimenomaisessa tapauksessa verkkorikolliset käyttävät Facebook Messengeriä FormBookin levittämiseen. He käyttävät sellaisten ihmisten tilejä, joiden tietokoneisiin on asennettu haittaohjelmia. Heidän tilejään käytetään FormBookin levittämiseen yksinkertaisesti lähettämällä liitetiedostoja, jotka, jos ne puretaan ja avataan, aiheuttavat tietokonetartuntoja. On myös muita tapoja levittää näitä haittaohjelmia. Esimerkiksi käyttämällä roskapostikampanjoita, troijalaisia, väärennettyjä ohjelmistopäivitystyökaluja, ohjelmistojen ”murtotyökaluja” ja erilaisia epäilyttäviä ohjelmistojen latauslähteitä. Huijatakseen ihmisiä asentamaan ei-toivottuja ohjelmia (tai tietokonetartuntoja) roskapostikampanjoiden avulla rikolliset lähettävät sähköpostiviestejä, jotka sisältävät haitallisia liitetiedostoja. Liitetiedostot ovat yleensä Microsoft Office- tai PDF-dokumentteja, arkistoja (ZIP, RAR ja muut), suoritettavia tiedostoja, JavaScript-tiedostoja ja niin edelleen. Jos ne avataan, ne lataavat ja asentavat haittaohjelmia. Troijalaiset ovat ohjelmia, jotka on suunniteltu levittämään muita tartuntoja. Kun ne asennetaan, ne aiheuttavat ketjutartuntoja. Väärennetyt (epäviralliset) ohjelmistopäivitystyökalut lataavat ja asentavat yleensä ei-toivottuja ohjelmia (haittaohjelmia) pikemminkin kuin päivityksiä tai korjauksia, tai ne käyttävät hyväkseen vanhentuneen ohjelmiston virheitä tai puutteita. Ohjelmistojen ”murtotyökalut” ovat ohjelmia, joiden avulla käyttäjät voivat välttää ohjelmiston aktivoinnista maksamisen, mutta verkkorikolliset käyttävät niitä usein tietokonetartuntojen levittämiseen. Aktivoinnin ohittamisen sijaan nämä työkalut lataavat ja asentavat usein haittaohjelmia. P2P-verkkoja (Peer-to-Peer), ilmaisia tiedostojen hosting-sivustoja, ilmaisohjelmien lataussivustoja, epävirallisia sivuja, kolmannen osapuolen latausohjelmia ja muita vastaavia lähteitä voidaan käyttää haittaohjelmien levittämiseen. Tyypillisesti haittaohjelmatiedostot (executables) esitetään laillisina. Lataamalla ja avaamalla ne ihmiset asentavat usein ei-toivottuja ohjelmia ja aiheuttavat tietokonetartuntoja.
Miten vältät haittaohjelmien asentamisen?
Ole varovainen tuntemattomista, epäilyttävistä osoitteista saatujen liitetiedostojen tai verkkolinkkien kanssa. Jos sähköpostin aihe ja asiayhteys on epäolennainen, älä avaa liitetiedostoa. Käytä virallisia ja luotettavia lähteitä ohjelmistojen lataamiseen. Edellä mainitut työkalut eivät ole turvallisimpia keinoja. On tärkeää päivittää asennetut ohjelmistot käyttämällä virallisten ohjelmistokehittäjien tarjoamia/suunnittelemia toteutettuja toimintoja ja työkaluja. Jos asennettu ohjelmisto vaatii maksullisen aktivoinnin, sitä ei pidä tehdä ”krakkaustyökalulla”. Ne ovat laittomia ja aiheuttavat usein haittaohjelmien asennuksen. On myös tärkeää asentaa hyvämaineinen virustorjunta- ja/tai vakoiluohjelmisto. Nämä työkalut voivat havaita ja poistaa erilaisia uhkia ennen kuin ne ehtivät levitä tai aiheuttaa vahinkoa. Jos olet jo avannut ”Facebook Messenger virus” -liitteen, suosittelemme skannauksen suorittamista Malwarebytes for Windows -ohjelmalla tunkeutuneiden haittaohjelmien automaattista poistamista varten.
Kuvakaappaus viestiin liitetyistä tiedostoista (jotka on sijoitettu työpöydälle) ja FormBook-prosessista, joka on naamioitu nimellä ”Service Host: Paikallinen järjestelmä” Tehtävienhallinnassa:
Automaattinen haittaohjelmien poisto:Uhkien poistaminen manuaalisesti saattaa olla pitkä ja monimutkainen prosessi, joka vaatii edistynyttä tietokonetaitoa. Malwarebytes on ammattimainen automaattinen haittaohjelmien poistotyökalu, jota suositellaan haittaohjelmista eroon pääsemiseen. Lataa se napsauttamalla alla olevaa painiketta:
▼ DOWNLOAD MalwarebytesLataamalla tällä verkkosivustolla lueteltuja ohjelmistoja hyväksyt tietosuojakäytäntömme ja käyttöehtomme. Jos haluat käyttää täysimittaista tuotetta, sinun on ostettava Malwarebytes-lisenssi. Saatavilla on 14 päivän ilmainen kokeiluversio.
Pikavalikko:
- Mikä on ”Facebook Messenger -virus”?
- VAIHE 1. FormBook-haittaohjelman poistaminen manuaalisesti.
- VAIHE 2. Tarkista, onko tietokoneesi puhdas.
Miten poistaa haittaohjelmat manuaalisesti?
Manuaalinen haittaohjelmien poisto on monimutkainen tehtävä – yleensä on parasta antaa virustorjunta- tai haittaohjelmien torjuntaohjelmien tehdä tämä automaattisesti. Tämän haittaohjelman poistamiseen suosittelemme Malwarebytes for Windows -ohjelmaa. Jos haluat poistaa haittaohjelman manuaalisesti, ensimmäinen vaihe on tunnistaa poistettavan haittaohjelman nimi. Tässä on esimerkki käyttäjän tietokoneella käynnissä olevasta epäilyttävästä ohjelmasta:
Jos olet tarkistanut tietokoneella käynnissä olevien ohjelmien luettelon esimerkiksi Tehtävienhallinnan avulla ja tunnistanut epäilyttävältä näyttävän ohjelman, jatka seuraavilla ohjeilla:
Lataa Autoruns-niminen ohjelma. Tämä ohjelma näyttää automaattisesti käynnistyvät ohjelmat, rekisterin ja tiedostojärjestelmän sijainnit:
Käynnistä tietokone vikasietotilaan:
Windows XP:n ja Windows 7:n käyttäjät: Käynnistä tietokone vikasietotilassa. Valitse Käynnistä, valitse Sammuta, valitse Käynnistä uudelleen ja valitse OK. Paina tietokoneen käynnistyksen aikana näppäimistön F8-näppäintä useita kertoja, kunnes näyttöön tulee Windows Advanced Option -valikko, ja valitse sitten luettelosta Safe Mode with Networking (vikasietotila verkkoyhteydellä).
Video, jossa näytetään Windows 7:n käynnistäminen ”vikasietotilassa verkkoyhteydellä”:
Windows 8:n käyttäjät: Käynnistä Windows 8 vikasietotilassa verkkoyhteydellä – Mene Windows 8:n aloitusnäyttöön, kirjoita Advanced (Lisäasetukset), valitse hakutuloksista Settings (Asetukset). Napsauta Advanced startup options (Lisäasetukset), valitse avautuneessa ”General PC Settings” (Yleiset PC-asetukset) -ikkunassa Advanced startup (Lisäasetukset). Napsauta ”Käynnistä uudelleen nyt” -painiketta. Tietokoneesi käynnistyy nyt uudelleen ”Advanced Startup options -valikkoon”. Napsauta ”Vianmääritys”-painiketta ja sitten ”Lisäasetukset”-painiketta. Napsauta lisäasetusten näytössä ”Käynnistysasetukset”. Napsauta ”Restart”-painiketta. Tietokone käynnistyy uudelleen Käynnistysasetukset-näyttöön. Käynnistä tietokone vikasietotilassa verkkoyhteyden kanssa painamalla F5-näppäintä.
Video, jossa näytetään Windows 8:n käynnistäminen ”vikasietotilassa verkkoyhteyden kanssa”:
Windows 10 -käyttäjät: Napsauta Windows-logoa ja valitse Virta-kuvake. Napsauta avautuneessa valikossa ”Restart” (Uudelleenkäynnistys) pitäen samalla näppäimistön ”Shift”-painiketta painettuna. Valitse ”Valitse vaihtoehto” -ikkunassa ”Vianmääritys” ja valitse seuraavaksi ”Lisäasetukset”. Valitse lisäasetukset-valikosta ”Käynnistysasetukset” ja napsauta ”Uudelleenkäynnistys”-painiketta. Seuraavassa ikkunassa sinun tulee napsauttaa näppäimistön ”F5”-painiketta. Tämä käynnistää käyttöjärjestelmän uudelleen vikasietotilassa verkkoyhteyden kanssa.
Video, jossa näytetään, miten Windows 10 käynnistetään ”vikasietotilassa verkkoyhteyden kanssa”:
Purkaa ladattu arkisto ja suorita Autoruns.exe-tiedosto.
Klikkaa Autoruns-sovelluksessa yläreunassa ”Asetukset” ja poista valinnat ”Piilota tyhjät sijainnit” ja ”Piilota Windowsin merkinnät”. Napsauta tämän toimenpiteen jälkeen ”Päivitä”-kuvaketta.
Tarkista Autoruns-sovelluksen tarjoama luettelo ja etsi haittaohjelmatiedosto, jonka haluat poistaa.
Kirjoita ylös sen koko polku ja nimi. Huomaa, että jotkin haittaohjelmat piilottavat prosessien nimet laillisten Windows-prosessien nimien alle. Tässä vaiheessa on erittäin tärkeää välttää järjestelmätiedostojen poistamista. Kun olet löytänyt poistettavan epäilyttävän ohjelman, napsauta hiiren kakkospainikkeella sen nimen päällä ja valitse ”Poista”.
Kun olet poistanut haittaohjelman Autoruns-sovelluksen kautta (näin varmistat, että haittaohjelma ei käynnisty automaattisesti seuraavalla järjestelmäkäynnistyksellä), etsi haittaohjelman nimi tietokoneesta. Muista ottaa piilotetut tiedostot ja kansiot käyttöön ennen jatkamista. Jos löydät haittaohjelman tiedostonimen, muista poistaa se.
Käynnistä tietokone uudelleen normaalitilassa. Näiden vaiheiden noudattamisen pitäisi poistaa haittaohjelmat tietokoneesta. Huomaa, että uhkien poistaminen manuaalisesti vaatii kehittyneitä tietokonetaitoja. Jos sinulla ei ole näitä taitoja, jätä haittaohjelmien poisto virustorjunta- ja haittaohjelmien torjuntaohjelmien tehtäväksi. Nämä vaiheet eivät ehkä toimi edistyneissä haittaohjelmatartunnoissa. Kuten aina, on parempi ehkäistä tartunta kuin yrittää poistaa haittaohjelma myöhemmin. Pitääksesi tietokoneesi turvallisena asenna uusimmat käyttöjärjestelmäpäivitykset ja käytä virustorjuntaohjelmia.
Voidaksesi olla varma, ettei tietokoneessasi ole haittaohjelmatartuntoja, suosittelemme sen tarkistamista Malwarebytes for Windows -ohjelmalla.