“Facebook Messenger vírus” eltávolítási útmutató
Mi az a “Facebook Messenger vírus”?
A “Facebook Messenger vírust” Ido Naor fedezte fel. A kiberbűnözők a FormBook, egy trójai típusú program terjesztésére használják, különböző fájlok Facebook Messengeren keresztül történő elküldésével. Megnyitásuk esetén ezek a fájlok a fent említett rosszindulatú program telepítését okozzák.
Az emberek jellemzően a Facebook-ismerőseiktől kapják ezeket a fájlokat, akik nem kívánt (rosszindulatú), spameket küldő programokat telepítettek. Példánkban a Messenger üzenethez csatolt fájl a “video_13925.bz”. Ez az archívum tartalmaz egy másik fájlt (“play_75367031.mp4.com”), amelyet a 7-Zip programmal lehet kinyerni. Megnyitásakor letölti és telepíti a FormBook trójai programot. Ez a program személyes adatokat lop el. Segítségével a kiberbűnözők rögzíthetik a billentyűleütéseket és a vágólap adatait, képernyőképeket készíthetnek, ellophatják a mentett jelszavakat/bejelentkezéseket stb. Az ellopott adatok között lehetnek banki adatok is. A kiberbűnözők az összes ellopott adatot bevételszerzésre használják. Áldozataik általában pénzügyi (pénzügyi veszteség), böngészésbiztonsági, adatvédelmi és egyéb problémákat tapasztalnak. A FormBook-ot más programok letöltésére és telepítésére is felhasználhatják, és így az áldozatok számítógépe más rosszindulatú programokkal, például zsarolóprogramokkal fertőződhet meg. Ha a számítógépet megfertőzte a FormBook, azonnal el kell távolítani.
| Név | Facebook Messenger spam vírus |
| Veszély típusa | Trojan, Password stealing virus, Banking malware, Spyware. |
| Tartozék(ok) | Változatos archív fájlok (pl., “video_13925.bz”) |
| Ellenőrzési nevek (video.exe) | Avira (TR/Autoit.oftwi), BitDefender (Trojan.GenericKD.41240919), ESET-NOD32 (a Win32/Autoit.OHP egy változata), Kaspersky (UDS:DangerousObject.Multi.Generic), Teljes észlelési lista (VirusTotal) |
| Tünetek | A trójaiak célja, hogy lopakodva beszivárogjanak az áldozat számítógépére és csendben maradjanak. Így a fertőzött gépen nem láthatóak egyértelműen különösebb tünetek. |
| Fizetés | Formbook trójai |
| TERjesztési módszerek | Fertőzött e-mail mellékletek, rosszindulatú online hirdetések, social engineering, szoftver feltörések. |
| Kár | Lopott banki adatok, jelszavak, személyazonosság-lopás, az áldozat számítógépe hozzáadódik egy botnethez. |
| Kártevő eltávolítása (Windows) |
Az esetleges kártevő fertőzések eltávolításához vizsgálja át számítógépét törvényes vírusirtó szoftverrel. Biztonsági kutatóink a Malwarebytes használatát ajánlják. |
A FormBook csak egy a sok trójai típusú program közül. Példák más hasonló rosszindulatú programok közül az Adwind, a TrickBot, a Tefosteal és a LokiBot. A trójaiak általában bizalmas, személyes adatokat/információkat lopnak el, és más fertőzések elterjesztésére szolgálnak. Az általuk megfertőzött számítógép általában komoly problémákhoz vezet.
Hogyan fertőzte meg a “Facebook Messenger vírus” a számítógépemet?
Ebben a konkrét esetben a FormBook elterjesztéséhez a kiberbűnözők a Facebook Messenger-t használják. Olyan emberek fiókjait használják, akiknek a számítógépére rosszindulatú programokat telepítettek. Az ő fiókjaikat használják a FormBook terjesztésére, egyszerűen csatolt fájlok küldésével, amelyek, ha kibontják és megnyitják őket, számítógépes fertőzéseket okoznak. A rosszindulatú programok terjesztésének más módjai is vannak. Például spam-kampányok, trójaiak, hamis szoftverfrissítő eszközök, szoftver-“feltörő” eszközök és különböző kétes szoftverletöltési források segítségével. A bűnözők, hogy a spam-kampányok segítségével rávegyék az embereket a nem kívánt programok (vagy számítógépes fertőzések) telepítésére, rosszindulatú mellékleteket tartalmazó e-maileket küldenek. A csatolt fájlok általában Microsoft Office, PDF dokumentumok, archívumok (ZIP, RAR és mások), futtatható fájlok, JavaScript fájlok stb. Megnyitásuk esetén rosszindulatú programokat töltenek le és telepítenek. A trójaiak olyan programok, amelyeket más fertőzések elterjesztésére terveztek. Telepítésük esetén láncfertőzéseket okoznak. A hamis (nem hivatalos) szoftverfrissítő eszközök általában frissítések, javítások helyett nem kívánt programokat (rosszindulatú programokat) töltenek le és telepítenek, vagy az elavult szoftverek hibáit/hibáit használják ki. A szoftver “feltörő” eszközök olyan programok, amelyek lehetővé teszik a felhasználók számára, hogy elkerüljék a szoftveraktiválásért való fizetést, azonban a kiberbűnözők gyakran használják őket számítógépes fertőzések terjesztésére. Az aktiválás megkerülése helyett ezek az eszközök gyakran rosszindulatú programokat töltenek le és telepítenek. A P2P (Peer-to-Peer) hálózatok, az ingyenes fájlszolgáltató webhelyek, az ingyenesen letölthető szoftvereket tartalmazó webhelyek, a nem hivatalos oldalak, a harmadik féltől származó letöltők és más hasonló források felhasználhatók rosszindulatú programok terjesztésére. A rosszindulatú fájlokat (futtatható fájlokat) általában legitimnek tüntetik fel. Letöltésükkel és megnyitásukkal az emberek gyakran nem kívánt programokat telepítenek, és számítógépes fertőzéseket okoznak.
Hogyan kerülje el a rosszindulatú programok telepítését?
Vigyázzon az ismeretlen, gyanús címekről kapott mellékletekkel vagy weblinkekkel. Ha az e-mail tárgya és kontextusa irreleváns, ne nyissa meg a mellékletet. Szoftverek letöltéséhez használjon hivatalos és megbízható forrásokat. A fent említett eszközök nem a legbiztonságosabb módszerek. Fontos, hogy a telepített szoftvereket a hivatalos szoftverfejlesztők által biztosított/tervezett implementált funkciók és eszközök segítségével frissítse. Ha a telepített szoftver fizetős aktiválást igényel, azt nem szabad “feltörő” eszközzel elvégezni. Ezek illegálisak, és gyakran rosszindulatú programok telepítését okozzák. Fontos továbbá egy jó hírű vírusirtó és/vagy kémprogram-ellenes szoftver telepítése. Ezek az eszközök képesek felismerni és eltávolítani a különböző fenyegetéseket, mielőtt azok elterjednének vagy kárt okoznának. Ha már megnyitotta a “Facebook Messenger vírus” csatolmányt, javasoljuk a Malwarebytes for Windows programmal történő vizsgálat futtatását a beszivárgott rosszindulatú programok automatikus eltávolítása érdekében.
Képernyőkép az üzenethez csatolt (az asztalon elhelyezett) fájlokról és a FormBook folyamatról álcázott “Service Host: Local System” a Feladatkezelőben:
Instant automatic malware removal:A fenyegetések kézi eltávolítása hosszadalmas és bonyolult folyamat lehet, amely fejlett számítógépes ismereteket igényel. A Malwarebytes egy professzionális automatikus kártevő eltávolító eszköz, amely ajánlott a kártevőktől való megszabaduláshoz. Töltse le az alábbi gombra kattintva:
▼ DOWNLOAD MalwarebytesAz ezen a weboldalon felsorolt bármely szoftver letöltésével Ön elfogadja adatvédelmi irányelvünket és felhasználási feltételeinket. A teljes funkcionalitású termék használatához meg kell vásárolnia a Malwarebytes licencét. 14 napos ingyenes próbaverzió áll rendelkezésre.
Gyorsmenü:
- Mi az a “Facebook Messenger vírus”?
- STEP 1. A FormBook malware manuális eltávolítása.
- 2. LÉPÉS. Ellenőrizze, hogy a számítógép tiszta-e.
Hogyan lehet manuálisan eltávolítani a malware-t?
A malware manuális eltávolítása bonyolult feladat – általában a legjobb, ha hagyja, hogy a vírusirtó vagy a malware-ellenes programok automatikusan elvégezzék ezt. A rosszindulatú szoftver eltávolításához a Malwarebytes for Windows használatát javasoljuk. Ha kézzel szeretné eltávolítani a rosszindulatú programot, az első lépés az eltávolítani kívánt rosszindulatú program nevének azonosítása. Íme egy példa egy felhasználó számítógépén futó gyanús programra:
Ha ellenőrizte a számítógépén futó programok listáját, például a Feladatkezelő segítségével, és azonosított egy gyanúsnak tűnő programot, akkor a következő lépésekkel kell folytatnia:
Töltse le az Autoruns nevű programot. Ez a program megmutatja az automatikusan induló alkalmazásokat, a nyilvántartást és a fájlrendszer helyeit:
Indítsa újra a számítógépet csökkentett módban:
Windows XP és Windows 7 felhasználók: Indítsa el a számítógépet csökkentett módban. Kattintson a Start gombra, kattintson a Leállítás gombra, kattintson az Újraindítás gombra, majd kattintson az OK gombra. A számítógép indítása közben nyomja le többször az F8 billentyűt a billentyűzeten, amíg meg nem jelenik a Windows Speciális beállítások menüje, majd válassza ki a listából a Biztonságos mód hálózatba kapcsolással lehetőséget.
Videó a Windows 7 “Biztonságos mód hálózatba kapcsolással” indításáról:
Windows 8 felhasználók: A Windows 8 elindítása Biztonságos mód hálózatba kapcsolással – Menjen a Windows 8 kezdőképernyőjére, írja be a Speciális parancsot, a keresési eredmények között válassza a Beállítások lehetőséget. Kattintson a Speciális indítási beállítások gombra, a megnyílt “Általános PC-beállítások” ablakban válassza a Speciális indítás lehetőséget. Kattintson az “Újraindítás most” gombra. A számítógép most újraindul a “Speciális indítási beállítások menüpontba”. Kattintson a “Hibaelhárítás” gombra, majd a “Speciális beállítások” gombra. A speciális beállítások képernyőn kattintson az “Indítási beállítások” gombra. Kattintson az “Újraindítás” gombra. A számítógép újraindul az Indítási beállítások képernyőre. Nyomja meg az F5 billentyűt a “Biztonságos mód hálózatba kapcsolással” indításhoz.
Videó a Windows 8 “Biztonságos mód hálózatba kapcsolással” indításáról:
Windows 10 felhasználók: Kattintson a Windows logóra, és válassza a bekapcsoló ikont. A megnyílt menüben kattintson az “Újraindítás” gombra, miközben a billentyűzeten nyomva tartja a “Shift” gombot. A “Válasszon opciót” ablakban kattintson a “Hibaelhárítás”, majd válassza a “Speciális beállítások” lehetőséget. A speciális beállítások menüben válassza az “Indítási beállítások” menüpontot, majd kattintson az “Újraindítás” gombra. A következő ablakban kattintson a billentyűzetén az “F5” gombra. Ezáltal az operációs rendszer újraindul a “Biztonságos üzemmódban hálózatba kapcsolással”.
Videó a Windows 10 “Biztonságos üzemmódban hálózatba kapcsolással” indításáról:
Kicsomagolja a letöltött archívumot, és futtassa az Autorunst.exe fájlt.
Az Autoruns alkalmazásban kattintson felül a “Beállítások” gombra, és törölje az “Üres helyek elrejtése” és a “Windows-bejegyzések elrejtése” lehetőségek jelölését. Ezt az eljárást követően kattintson a “Frissítés” ikonra.
Nézze meg az Autoruns alkalmazás által megadott listát, és keresse meg az eltávolítani kívánt rosszindulatú programot tartalmazó fájlt.
A teljes elérési utat és nevet írja le. Vegye figyelembe, hogy egyes rosszindulatú programok folyamatneveket rejtenek el a legitim Windows-folyamatnevek alatt. Ebben a szakaszban nagyon fontos, hogy elkerülje a rendszerfájlok eltávolítását. Miután megtalálta az eltávolítani kívánt gyanús programot, kattintson az egér jobb gombjával a neve fölé, és válassza a “Törlés” lehetőséget.
A rosszindulatú program Autoruns alkalmazáson keresztül történő eltávolítása után (ez biztosítja, hogy a rosszindulatú program a következő rendszerindításkor ne induljon el automatikusan), keresse meg a rosszindulatú program nevét a számítógépén. A folytatás előtt mindenképpen engedélyezze a rejtett fájlok és mappák használatát. Ha megtalálja a rosszindulatú szoftver fájlnevét, mindenképpen távolítsa el.
Újraindítsa a számítógépet normál üzemmódban. A fenti lépések követésével minden rosszindulatú programot el kell távolítania a számítógépéről. Vegye figyelembe, hogy a fenyegetések kézi eltávolítása haladó számítógépes ismereteket igényel. Ha nem rendelkezik ilyen készségekkel, bízza a rosszindulatú programok eltávolítását a vírusirtó és rosszindulatú szoftverek elleni programokra. Előfordulhat, hogy ezek a lépések nem működnek fejlett rosszindulatú fertőzések esetén. Mint mindig, a legjobb megelőzni a fertőzést, mint később megpróbálni eltávolítani a kártevőket. Számítógépe biztonsága érdekében telepítse az operációs rendszer legújabb frissítéseit, és használjon vírusirtó szoftvert.
Hogy biztos legyen abban, hogy számítógépe mentes a rosszindulatú fertőzésektől, javasoljuk, hogy vizsgálja át azt a Malwarebytes for Windows programmal.