“Facebook Messenger virus” verwijderingshandleiding
Wat is “Facebook Messenger virus”?
“Facebook Messenger virus” werd ontdekt door Ido Naor. Cybercriminelen gebruiken het om FormBook, een trojan-type programma, te verspreiden door verschillende bestanden via Facebook Messenger te versturen. Als deze bestanden worden geopend, veroorzaken ze de installatie van het bovengenoemde schadelijke programma.
Typisch is dat mensen deze bestanden ontvangen van hun Facebook-vrienden die ongewenste (schadelijke) programma’s hebben geïnstalleerd waarmee spam wordt verzonden. In ons voorbeeld is het bestand dat bij het Messenger-bericht is gevoegd “video_13925.bz”. Dit archief bevat een ander bestand (“play_75367031.mp4.com”) dat kan worden uitgepakt met 7-Zip. Als het wordt geopend, downloadt en installeert het de FormBook Trojan. Dit programma steelt persoonlijke gegevens. Met behulp van dit programma kunnen cybercriminelen toetsaanslagen en klembordgegevens opnemen, schermafbeeldingen maken, opgeslagen wachtwoorden/logins stelen, enzovoort. Sommige van de gestolen gegevens kunnen bankgegevens bevatten. Cybercriminelen gebruiken alle gestolen gegevens om inkomsten te genereren. Hun slachtoffers ondervinden meestal problemen met betrekking tot financiën (financieel verlies), veiligheid bij het surfen, privacy en andere zaken. FormBook kan ook worden gebruikt om andere programma’s te downloaden en te installeren, en zo kunnen slachtoffers hun computers laten infecteren met andere kwaadaardige programma’s zoals ransomware. Als een computer is geïnfecteerd met FormBook, moet deze onmiddellijk worden verwijderd.
| Naam | Facebook Messenger spam virus |
| Dreigingstype | Trojan, Wachtwoordstelend virus, Bankmalware, Spyware. |
| Bijlage(n) | Verschillende archiefbestanden (bijv, “video_13925.bz”) |
| Detectienamen (video.exe) | Avira (TR/Autoit.oftwi), BitDefender (Trojan.GenericKD.41240919), ESET-NOD32 (een variant van Win32/Autoit.OHP), Kaspersky (UDS:DangerousObject.Multi.Generic), Volledige lijst met detecties (VirusTotal) |
| Symptomen | Trojaanse paarden zijn ontworpen om heimelijk te infiltreren in de computer van het slachtoffer en om stil te blijven. Er zijn dus geen specifieke symptomen duidelijk zichtbaar op een geïnfecteerde machine. |
| Betaallast | FormBook trojan |
| Distributiemethoden | Infecte e-mailbijlagen, kwaadaardige online advertenties, social engineering, software cracks. |
| Schade | Stolen van bankgegevens, wachtwoorden, identiteitsdiefstal, computer van het slachtoffer toegevoegd aan een botnet. |
| Malwareverwijdering (Windows) |
Om mogelijke malware-infecties te elimineren, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden u aan Malwarebytes te gebruiken. |
FormBook is slechts een van de vele trojaanse programma’s. Voorbeelden van andere soortgelijke schadelijke programma’s zijn Adwind, TrickBot, Tefosteal en LokiBot. Trojaanse paarden stelen gewoonlijk vertrouwelijke, persoonlijke gegevens/informatie en zorgen voor de verspreiding van andere infecties. Het hebben van een computer geïnfecteerd door hen leidt meestal tot ernstige problemen.
Hoe heeft “Facebook Messenger virus” infecteren mijn computer?
In dit specifieke geval, om te verspreiden FormBook, cybercriminelen gebruik Facebook Messenger. Ze gebruiken accounts van mensen die kwaadaardige programma’s op hun computers hebben geïnstalleerd. Hun accounts worden gebruikt om FormBook te verspreiden door eenvoudigweg bijgevoegde bestanden te verzenden die, indien uitgepakt en geopend, computerinfecties veroorzaken. Er zijn ook andere manieren om deze kwaadaardige programma’s te verspreiden. Bijvoorbeeld door gebruik te maken van spam campagnes, Trojaanse paarden, nep software update tools, software “cracking” tools en verschillende dubieuze software download bronnen. Om mensen er via spamcampagnes toe over te halen ongewenste programma’s (of computerinfecties) te installeren, sturen criminelen e-mails met kwaadaardige bijlagen. Bijgevoegde bestanden zijn meestal Microsoft Office, PDF-documenten, archieven (ZIP, RAR, en andere), uitvoerbare bestanden, JavaScript-bestanden, enzovoort. Als ze worden geopend, downloaden en installeren ze schadelijke programma’s. Trojaanse paarden zijn programma’s die zijn ontworpen om andere infecties te verspreiden. Wanneer ze geïnstalleerd worden, veroorzaken ze kettinginfecties. Valse (onofficiële) programma’s voor het bijwerken van software downloaden en installeren meestal ongewenste programma’s (malware) in plaats van updates, fixes of ze maken gebruik van bugs/fouten in verouderde software. Tools om software te kraken zijn programma’s waarmee gebruikers kunnen voorkomen dat ze moeten betalen voor de activering van software, maar cybercriminelen gebruiken ze vaak om computerinfecties te verspreiden. In plaats van activering te omzeilen, downloaden en installeren deze tools vaak kwaadaardige programma’s. P2P (Peer-to-Peer)-netwerken, gratis websites voor het hosten van bestanden, websites voor het downloaden van freeware, onofficiële pagina’s, downloaders van derden en andere soortgelijke bronnen kunnen worden gebruikt om malware te verspreiden. Meestal worden kwaadaardige bestanden (uitvoerbare bestanden) als legitiem gepresenteerd. Door ze te downloaden en te openen, installeren mensen vaak ongewenste programma’s en veroorzaken computerinfecties.
Hoe de installatie van malware te voorkomen?
Wees voorzichtig met bijlagen of webkoppelingen die van onbekende, verdachte adressen zijn ontvangen. Als het onderwerp en de context van de e-mail niet relevant is, open de bijlage dan niet. Gebruik officiële en betrouwbare bronnen om software te downloaden. De eerder genoemde tools zijn niet de veiligste manieren. Het is belangrijk om geïnstalleerde software te updaten met behulp van geïmplementeerde functies en tools die worden geleverd/ontworpen door officiële softwareontwikkelaars. Als geïnstalleerde software betaalde activering vereist, mag dit niet worden uitgevoerd met een ‘cracking’-tool. Deze zijn illegaal en veroorzaken vaak de installatie van kwaadaardige programma’s. Het is ook van belang dat u een gerenommeerde antivirus- of/en antispyware-software hebt geïnstalleerd. Deze tools kunnen verschillende bedreigingen detecteren en verwijderen voordat ze zich kunnen verspreiden of schade kunnen aanrichten. Als u de bijlage met het “Facebook Messenger-virus” al hebt geopend, raden wij u aan een scan uit te voeren met Malwarebytes voor Windows om geïnfiltreerde malware automatisch te elimineren.
Schermopname van bestanden die bij een bericht zijn gevoegd (geplaatst op het Bureaublad) en het FormBook-proces dat is vermomd als “Service Host: Local System” in Taakbeheer:
Instant automatische malwareverwijdering:Handmatige verwijdering van bedreigingen kan een langdurig en ingewikkeld proces zijn dat geavanceerde computervaardigheden vereist. Malwarebytes is een professionele automatische malware removal tool die wordt aanbevolen om zich te ontdoen van malware. Download het door te klikken op de knop hieronder:
▼ DOWNLOAD MalwarebytesDoor het downloaden van software die op deze website gaat u akkoord met ons privacybeleid en de gebruiksvoorwaarden. Om het product met volledige functionaliteit te gebruiken, moet u een licentie voor Malwarebytes kopen. 14 dagen gratis proefversie beschikbaar.
Kort menu:
- Wat is “Facebook Messenger virus”?
- STAP 1. Handmatige verwijdering van FormBook malware.
- STAP 2. Controleer of uw computer schoon is.
Hoe verwijder je malware handmatig?
Handmatig malware verwijderen is een ingewikkelde taak – meestal is het het beste om antivirus of anti-malware programma’s dit automatisch te laten doen. Om deze malware te verwijderen raden wij het gebruik van Malwarebytes voor Windows aan. Indien u malware manueel wenst te verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier volgt een voorbeeld van een verdacht programma dat wordt uitgevoerd op de computer van een gebruiker:
Als u de lijst met programma’s die op uw computer worden uitgevoerd hebt gecontroleerd, bijvoorbeeld met taakbeheer, en een programma hebt geïdentificeerd dat er verdacht uitziet, moet u verdergaan met de volgende stappen:
Download een programma met de naam Autoruns. Dit programma toont automatisch opstartende toepassingen, register- en bestandssysteemlocaties:
Start uw computer opnieuw op in de veilige modus:
Windows XP- en Windows 7-gebruikers: Start uw computer op in de veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten, klik op OK. Druk tijdens het opstarten van uw computer meerdere malen op de toets F8 op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet en selecteer vervolgens Veilige modus met netwerken in de lijst.
Video die laat zien hoe u Windows 7 opstart in “Veilige modus met netwerken”:
Windows 8-gebruikers: Windows 8 starten is Veilige modus met netwerkverbinding – Ga naar het startscherm van Windows 8, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, selecteer in het geopende venster “Algemene pc-instellingen” Geavanceerd opstarten. Klik op de knop “Nu opnieuw opstarten”. Uw computer zal nu opnieuw opstarten in het “Geavanceerde opstartopties menu”. Klik op de knop “Problemen oplossen”, en vervolgens op de knop “Geavanceerde opties”. In het scherm met geavanceerde opties klikt u op “Opstartinstellingen”. Klik op de knop “Herstarten”. Uw PC zal opnieuw opstarten in het scherm “Opstartinstellingen”. Druk op F5 om op te starten in de veilige modus met netwerkverbinding.
Video die laat zien hoe u Windows 8 opstart in de veilige modus met netwerkverbinding:
Windows 10-gebruikers: Klik op het Windows-logo en selecteer het pictogram Power. Klik in het geopende menu op “Opnieuw opstarten” terwijl u de toets “Shift” op uw toetsenbord ingedrukt houdt. Klik in het venster “Kies een optie” op “Problemen oplossen” en selecteer vervolgens “Geavanceerde opties”. In het menu “Geavanceerde opties” selecteert u “Opstartinstellingen” en klikt u op de knop “Herstarten”. In het volgende venster moet u op de toets “F5” op uw toetsenbord klikken. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de veilige modus met netwerken.
Video die laat zien hoe u Windows 10 opstart in de “veilige modus met netwerken”:
Uitpakken van het gedownloade archief en uitvoeren van het bestand Autoruns.exe-bestand.
Klik in de Autoruns-toepassing bovenaan op “Opties” en schakel de opties “Lege locaties verbergen” en “Windows-entries verbergen” uit. Klik na deze procedure op het pictogram “Vernieuwen”.
Kijk in de lijst van de toepassing Autoruns en zoek het malwarebestand dat u wilt verwijderen.
Je moet het volledige pad en de naam noteren. Merk op dat sommige malware procesnamen verbergt onder legitieme Windows procesnamen. In dit stadium is het zeer belangrijk om te voorkomen dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam ervan en kiest u “Verwijderen”.
Nadat u de malware hebt verwijderd via de toepassing Autoruns (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij de volgende keer dat het systeem wordt opgestart), moet u op uw computer naar de naam van de malware zoeken. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verder gaat. Als u de bestandsnaam van de malware hebt gevonden, moet u deze verwijderen.
Reboot uw computer opnieuw in de normale modus. Als u deze stappen volgt, wordt alle malware van uw computer verwijderd. Merk op dat handmatige verwijdering van bedreigingen geavanceerde computervaardigheden vereist. Als u deze vaardigheden niet hebt, laat malwareverwijdering dan over aan antivirus- en anti-malwareprogramma’s. Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om infectie te voorkomen dan te proberen later malware te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates voor het besturingssysteem en gebruikt u antivirussoftware.
Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden we u aan deze te scannen met Malwarebytes voor Windows.