Guida alla rimozione di “Facebook Messenger virus”
Cos’è “Facebook Messenger virus”?
“Facebook Messenger virus” è stato scoperto da Ido Naor. I criminali informatici lo usano per diffondere FormBook, un programma di tipo trojan, inviando vari file attraverso Facebook Messenger. Se aperti, questi file causano l’installazione del suddetto programma maligno.
Tipicamente, le persone ricevono questi file dai loro amici di Facebook che hanno installato programmi indesiderati (maligni) che inviano spam. Nel nostro esempio, il file allegato al messaggio Messenger è “video_13925.bz”. Questo archivio contiene un altro file (“play_75367031.mp4.com”) che può essere estratto con 7-Zip. Se aperto, scarica e installa il Trojan FormBook. Questo programma ruba i dati personali. Usandolo, i cyber criminali possono registrare le sequenze di tasti e i dati degli appunti, prendere screenshot, rubare password/login salvati e così via. Alcuni dei dati rubati potrebbero includere dettagli bancari. I cyber criminali usano tutti i dati rubati per generare entrate. Le loro vittime di solito sperimentano problemi relativi a finanze (perdita finanziaria), sicurezza di navigazione, privacy e altri problemi. FormBook potrebbe anche essere usato per causare il download e l’installazione di altri programmi, e quindi le vittime potrebbero avere i loro computer infettati da altri programmi maligni come il ransomware. Se un computer è stato infettato da FormBook, dovrebbe essere rimosso immediatamente.
| Nome | Virus spam Facebook Messenger |
| Tipo di minaccia | Trojan, virus per il furto di password, malware bancario, spyware. |
| Attacco(i) | Vari file di archivio (es, “video_13925.bz”) |
| Nomi di rilevamento (video.exe) | Avira (TR/Autoit.oftwi), BitDefender (Trojan.GenericKD.41240919), ESET-NOD32 (una variante di Win32/Autoit.OHP), Kaspersky (UDS:DangerousObject.Multi.Generic), Elenco completo dei rilevamenti (VirusTotal) |
| Sintomi | I trojan sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere in silenzio. Pertanto, nessun sintomo particolare è chiaramente visibile su una macchina infetta. |
| Payload | FormBook trojan |
| Metodi di distribuzione | Allegati email infetti, pubblicità online dannose, social engineering, software cracks. |
| Danni | Informazioni bancarie rubate, password, furto d’identità, il computer della vittima aggiunto a una botnet. |
| Rimozione del malware (Windows) |
Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza raccomandano di utilizzare Malwarebytes. |
FormBook è solo uno dei tanti programmi di tipo trojan. Esempi di altri programmi maligni simili includono Adwind, TrickBot, Tefosteal e LokiBot. I trojan di solito rubano dati/informazioni riservate e personali e per proliferare altre infezioni. Avere un computer infettato da loro di solito porta a seri problemi.
Come ha fatto “Facebook Messenger virus” a infettare il mio computer?
In questo caso particolare, per proliferare FormBook, i cyber criminali usano Facebook Messenger. Usano account di persone che hanno programmi maligni installati sui loro computer. I loro account vengono utilizzati per proliferare FormBook semplicemente inviando file allegati che, se estratti e aperti, causano infezioni del computer. Ci sono anche altri modi per proliferare questi programmi maligni. Per esempio, utilizzando campagne di spam, Trojan, falsi strumenti di aggiornamento del software, strumenti di ‘cracking’ del software e varie fonti dubbie di download del software. Per indurre le persone a installare programmi indesiderati (o infezioni del computer) attraverso campagne di spam, i criminali inviano e-mail che contengono allegati dannosi. I file allegati sono di solito Microsoft Office, documenti PDF, archivi (ZIP, RAR e altri), eseguibili, file JavaScript e così via. Se aperti, scaricano e installano programmi dannosi. I trojan sono programmi progettati per proliferare altre infezioni. Quando vengono installati, causano infezioni a catena. I falsi strumenti di aggiornamento del software (non ufficiali) di solito scaricano e installano programmi indesiderati (malware) piuttosto che aggiornamenti, correzioni o sfruttano bug/difetti del software obsoleto. Gli strumenti di ‘cracking’ del software sono programmi che permettono agli utenti di evitare di pagare l’attivazione del software, tuttavia, i cyber criminali spesso li usano per proliferare le infezioni del computer. Piuttosto che bypassare l’attivazione, questi strumenti spesso scaricano e installano programmi dannosi. Le reti P2P (Peer-to-Peer), i siti di hosting di file gratuiti, i siti di download di freeware, le pagine non ufficiali, i downloader di terze parti e altre fonti simili possono essere utilizzati per proliferare il malware. Tipicamente, i file maligni (eseguibili) sono presentati come legittimi. Scaricandoli e aprendoli, le persone spesso installano programmi indesiderati e causano infezioni del computer.
Come evitare l’installazione di malware?
Stare attenti agli allegati o ai link web ricevuti da indirizzi sconosciuti e sospetti. Se l’oggetto e il contesto dell’e-mail sono irrilevanti, non aprire l’allegato. Utilizzate fonti ufficiali e affidabili per scaricare software. Gli strumenti di cui sopra non sono i più sicuri. È importante aggiornare il software installato utilizzando le funzioni implementate e gli strumenti forniti/progettati dagli sviluppatori ufficiali del software. Se il software installato richiede un’attivazione a pagamento, non dovrebbe essere eseguita utilizzando uno strumento di ‘cracking’. Questi sono illegali e spesso causano l’installazione di programmi maligni. È anche importante avere installato un software antivirus e/o anti-spyware affidabile. Questi strumenti possono rilevare e rimuovere varie minacce prima che possano proliferare o fare danni. Se hai già aperto l’allegato “Facebook Messenger virus”, ti consigliamo di eseguire una scansione con Malwarebytes per Windows per eliminare automaticamente il malware infiltrato.
Screenshot dei file allegati a un messaggio (posti sul Desktop) e il processo FormBook camuffato come “Service Host: Local System” in Task Manager:
Rimozione automatica immediata del malware:La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Malwarebytes è uno strumento professionale di rimozione automatica del malware che è raccomandato per sbarazzarsi del malware. Scaricalo cliccando il pulsante qui sotto:
▼ DOWNLOAD MalwarebytesScaricando qualsiasi software elencato su questo sito web accetti la nostra politica sulla privacy e le condizioni d’uso. Per utilizzare il prodotto completo, devi acquistare una licenza per Malwarebytes. Sono disponibili 14 giorni di prova gratuita.
Menu veloce:
- Cos’è “Facebook Messenger virus”?
- Passo 1. Rimozione manuale del malware FormBook.
- PASSO 2. Controllare se il computer è pulito.
Come rimuovere il malware manualmente?
La rimozione manuale del malware è un compito complicato – di solito è meglio permettere ai programmi antivirus o anti-malware di farlo automaticamente. Per rimuovere questo malware si consiglia di utilizzare Malwarebytes per Windows. Se si desidera rimuovere manualmente il malware, il primo passo è quello di identificare il nome del malware che si sta cercando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer di un utente:
Se hai controllato l’elenco dei programmi in esecuzione sul tuo computer, per esempio, utilizzando il task manager, e hai identificato un programma che sembra sospetto, dovresti continuare con questi passaggi:
Scarica un programma chiamato Autoruns. Questo programma mostra le applicazioni ad avvio automatico, il registro e le posizioni del file system:
Riavvia il tuo computer in modalità provvisoria:
Utenti Windows XP e Windows 7: Avviare il computer in modalità provvisoria. Clicca su Start, clicca su Spegni, clicca su Riavvia, clicca su OK. Durante il processo di avvio del computer, premi più volte il tasto F8 sulla tastiera finché non vedi il menu delle opzioni avanzate di Windows, e poi seleziona Safe Mode with Networking dalla lista.
Video che mostra come avviare Windows 7 in “Safe Mode with Networking”:
Utenti Windows 8: Avviare Windows 8 in modalità provvisoria con Networking – Vai alla schermata iniziale di Windows 8, digita Advanced, nei risultati della ricerca seleziona Settings. Fare clic su Opzioni di avvio avanzate, nella finestra aperta “Impostazioni generali del PC”, selezionare Avvio avanzato. Clicca sul pulsante “Riavvia ora”. Il tuo computer si riavvierà ora nel “menu Opzioni di avvio avanzate”. Fai clic sul pulsante “Risoluzione dei problemi” e poi fai clic sul pulsante “Opzioni avanzate”. Nella schermata delle opzioni avanzate, clicca su “Impostazioni di avvio”. Fai clic sul pulsante “Riavvia”. Il PC si riavvierà nella schermata delle impostazioni di avvio. Premi F5 per avviare in modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in “Modalità provvisoria con rete”:
Utenti Windows 10: Clicca sul logo di Windows e seleziona l’icona Power. Nel menu aperto clicca su “Riavvia” tenendo premuto il tasto “Shift” sulla tastiera. Nella finestra “scegli un’opzione” clicca su “Risoluzione dei problemi”, poi seleziona “Opzioni avanzate”. Nel menu delle opzioni avanzate seleziona “Impostazioni di avvio” e clicca sul pulsante “Riavvia”. Nella finestra seguente dovresti cliccare il tasto “F5” sulla tua tastiera. Questo riavvierà il sistema operativo in modalità provvisoria con rete.
Video che mostra come avviare Windows 10 in “Modalità provvisoria con rete”:
Estrarre l’archivio scaricato ed eseguire il file Autoruns.exe.
Nell’applicazione Autoruns, clicca su “Opzioni” in alto e deseleziona le opzioni “Nascondi posizioni vuote” e “Nascondi voci di Windows”. Dopo questa procedura, clicca sull’icona “Aggiorna”.
Controlla l’elenco fornito dall’applicazione Autoruns e individua il file malware che vuoi eliminare.
Dovresti scriverne il percorso completo e il nome. Notate che alcuni malware nascondono i nomi dei processi sotto nomi di processi legittimi di Windows. In questa fase, è molto importante evitare di rimuovere i file di sistema. Dopo aver individuato il programma sospetto che vuoi rimuovere, clicca con il tasto destro del mouse sul suo nome e scegli “Elimina”.
Dopo aver rimosso il malware attraverso l’applicazione Autoruns (questo assicura che il malware non verrà eseguito automaticamente al prossimo avvio del sistema), dovresti cercare il nome del malware sul tuo computer. Assicuratevi di abilitare i file e le cartelle nascoste prima di procedere. Se trovi il nome del file del malware, assicurati di rimuoverlo.
Riavvia il computer in modalità normale. Seguendo questi passaggi si dovrebbe rimuovere qualsiasi malware dal computer. Si noti che la rimozione manuale delle minacce richiede competenze informatiche avanzate. Se non hai queste abilità, lascia la rimozione del malware ai programmi antivirus e anti-malware. Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre è meglio prevenire l’infezione che cercare di rimuovere il malware in seguito. Per mantenere il tuo computer al sicuro, installa gli ultimi aggiornamenti del sistema operativo e usa un software antivirus.
Per essere sicuri che il tuo computer sia privo di infezioni da malware, ti consigliamo di scansionarlo con Malwarebytes per Windows.