Guia de remoção do vírus do Facebook Messenger
O que é o “vírus do Facebook Messenger”?
“vírus do Facebook Messenger” foi descoberto por Ido Naor. Cyber criminosos usam-no para espalhar o FormBook, um programa do tipo trojan, enviando vários arquivos através do Facebook Messenger. Se abertos, esses arquivos causam a instalação do programa malicioso acima mencionado.
Tipicamente, as pessoas recebem esses arquivos dos seus amigos do Facebook que instalaram programas indesejados (maliciosos) que enviam spam. No nosso exemplo, o arquivo anexado à mensagem do Messenger é “video_13925.bz”. Esse arquivo contém outro arquivo (“play_75367031.mp4.com”) que pode ser extraído com o 7-Zip. Se aberto, ele baixa e instala o Trojan FormBook. Este programa rouba dados pessoais. Usando-o, os ciber-criminosos podem gravar toques de teclas e dados da área de transferência, tirar screenshots, roubar senhas/logins salvos, e assim por diante. Alguns dos dados roubados podem incluir detalhes bancários. Os cibercriminosos usam todos os dados roubados para gerar receitas. Suas vítimas geralmente experimentam problemas relacionados a finanças (perda financeira), segurança na navegação, privacidade e outros problemas. O FormBook também pode ser usado para causar o download e a instalação de outros programas, e assim as vítimas podem ter seus computadores infectados com outros programas maliciosos, como o ransomware. Se um computador estiver infectado com o FormBook, ele deve ser removido imediatamente.
| Nome | Vírus de spam do Facebook Messenger |
| Tipo de ameaça | Trojan, vírus de roubo de senha, malware bancário, Spyware. |
| Ataque(s)³1131> | Vários ficheiros de arquivo (ex, “video_13925.bz”) |
| Nomes de detecção (video.exe) | Avira (TR/Autoit.oftwi), BitDefender (Trojan.GenericKD.41240919), ESET-NOD32 (uma variante de Win32/Autoit.OHP), Kaspersky (UDS:DangerousObject.Multi.Generic), Lista completa de detecções (VirusTotal) |
| Symptoms | Trojans são concebidos para se infiltrarem furtivamente no computador da vítima e permanecerem em silêncio. Assim, não são claramente visíveis sintomas particulares numa máquina infectada. |
| Payload | FormBook trojan |
| Métodos de distribuição | Aneis infectados, anúncios maliciosos online, engenharia social, rachaduras de software. |
| Danos | Informações bancárias roubadas, senhas, roubo de identidade, computador da vítima adicionado a uma botnet. |
| Remoção de malware (Windows) |
Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Nossos pesquisadores de segurança recomendam o uso de Malwarebytes. |
FormBook é apenas um dos muitos programas do tipo trojan. Exemplos de outros programas maliciosos similares incluem Adwind, TrickBot, Tefosteal, e LokiBot. Trojans geralmente roubam dados/informações confidenciais e pessoais e para proliferar outras infecções. Ter um computador infectado por eles geralmente leva a problemas sérios.
Como o “vírus do Facebook Messenger” infectou o meu computador?
Nesse caso particular, para proliferar o FormBook, os criminosos cibernéticos usam o Facebook Messenger. Eles usam contas de pessoas que têm programas maliciosos instalados nos seus computadores. As suas contas são usadas para proliferar o FormBook, simplesmente enviando arquivos anexos que, se extraídos e abertos, causam infecções no computador. Existem também outras formas de proliferar esses programas maliciosos. Por exemplo, utilizando campanhas de spam, Trojans, ferramentas de actualização de software falso, ferramentas de ‘cracking’ de software e várias fontes de download de software duvidoso. Para enganar as pessoas na instalação de programas indesejados (ou infecções de computador) através de campanhas de spam, os criminosos enviam e-mails que contêm anexos maliciosos. Os arquivos anexos são geralmente Microsoft Office, documentos PDF, arquivos (ZIP, RAR e outros), executáveis, arquivos JavaScript e assim por diante. Se abertos, eles baixam e instalam programas maliciosos. Os Trojans são programas projetados para proliferar outras infecções. Quando instalados, eles causam infecções em cadeia. Ferramentas falsas (não-oficiais) de atualização de software geralmente baixam e instalam programas indesejados (malware) em vez de atualizações, correções ou exploram bugs/falhas de software desatualizado. Ferramentas de ‘cracking’ de software são programas que permitem aos usuários evitar pagar pela ativação de software, no entanto, os cibercriminosos muitas vezes os utilizam para proliferar infecções de computador. Ao invés de contornar a ativação, essas ferramentas frequentemente baixam e instalam programas maliciosos. Redes P2P (Peer-to-Peer), sites de hospedagem de arquivos gratuitos, sites de download freeware, páginas não-oficiais, downloads de terceiros e outras fontes similares podem ser usadas para proliferar malware. Tipicamente, arquivos maliciosos (executáveis) são apresentados como legítimos. Ao baixá-los e abri-los, as pessoas frequentemente instalam programas indesejados e causam infecções no computador.
Como evitar a instalação de malware?
Tenha cuidado com anexos ou links da web recebidos de endereços desconhecidos e suspeitos. Se o assunto e o contexto do e-mail for irrelevante, não abra o anexo. Use fontes oficiais e confiáveis para baixar o software. As ferramentas acima mencionadas não são as formas mais seguras de o conseguir. É importante atualizar o software instalado usando as funções e ferramentas implementadas, fornecidas/desenhadas pelos desenvolvedores de software oficiais. Se o software instalado requer ativação paga, ele não deve ser executado usando uma ferramenta de ‘rachadura’. Estes são ilegais e muitas vezes causam a instalação de programas maliciosos. Ter um software anti-vírus ou/e anti-spyware respeitável instalado também é importante. Estas ferramentas podem detectar e remover várias ameaças antes que elas possam proliferar ou fazer qualquer dano. Se você já abriu o anexo “vírus do Facebook Messenger”, recomendamos executar uma verificação com Malwarebytes para o Windows, para eliminar automaticamente os malwares infiltrados.
Screenshot de arquivos anexados a uma mensagem (colocada no Desktop) e o processo FormBook disfarçado de “Service Host”: Local System” no Task Manager:
Instante remoção automática de malware:A remoção manual de ameaças pode ser um processo longo e complicado que requer conhecimentos informáticos avançados. Malwarebytes é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de malware. Faça o download clicando no botão abaixo:
▼ DOWNLOAD Malwarebytes Ao fazer o download de qualquer software listado neste site, você concorda com a nossa Política de Privacidade e Termos de Uso. Para utilizar o produto completo, você tem que comprar uma licença para a Malwarebytes. 14 dias de teste gratuito disponível.
Quick menu:
- O que é “vírus do Facebook Messenger”?
- STEP 1. Remoção manual do malware do FormBook.
- PASSO 2. Verifique se o seu computador está limpo.
Como remover manualmente o malware?
A remoção manual de malware é uma tarefa complicada – geralmente é melhor permitir que programas antivírus ou antimalware façam isso automaticamente. Para remover este malware recomendamos o uso de Malwarebytes para Windows. Se você deseja remover o malware manualmente, o primeiro passo é identificar o nome do malware que você está tentando remover. Aqui está um exemplo de um programa suspeito em execução no computador de um usuário:
Se você verificou a lista de programas em execução no seu computador, por exemplo, usando o gerenciador de tarefas, e identificou um programa que parece suspeito, você deve continuar com estes passos:
Baixe um programa chamado Autoruns. Este programa mostra aplicativos de inicialização automática, Registro e localizações do sistema de arquivos:
Reinicie seu computador no modo de segurança:
Windows XP e usuários do Windows 7: Inicie o seu computador no modo de segurança. Clique em Iniciar, clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de inicialização do computador, pressione a tecla F8 no teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Seguro com Rede na lista.
Vídeo mostrando como iniciar o Windows 7 no “Modo Seguro com Rede”:
Utilizadores do Windows 8: Iniciar o Windows 8 é Modo Seguro com a Rede – Vá para a tela inicial do Windows 8, digite Avançado, nos resultados da busca selecione Configurações. Clique em Advanced startup options, na janela aberta “General PC Settings”, selecione Advanced startup. Clique no botão “Reiniciar agora”. O seu computador será reiniciado no menu “Opções avançadas de inicialização”. Clique no botão “Solução de problemas” e, em seguida, clique no botão “Opções avançadas”. Na tela de opções avançadas, clique em “Configurações de inicialização”. Clique no botão “Reiniciar”. O seu PC será reiniciado na tela de Configurações de inicialização. Pressione F5 para iniciar no Modo Seguro com a Rede.
Vídeo mostrando como iniciar o Windows 8 no “Modo Seguro com a Rede”:
Windows 10 usuários: Clique no logotipo do Windows e selecione o ícone Power. No menu aberto clique em “Reiniciar” enquanto segura o botão “Shift” no seu teclado. Na janela “Escolha uma opção” clique em “Solução de problemas”, em seguida selecione “Opções avançadas”. No menu de opções avançadas seleccione “Startup Settings” e clique no botão “Restart”. Na janela seguinte você deve clicar no botão “F5” no seu teclado. Isto reiniciará o seu sistema operativo no modo de segurança com a rede.
Video mostrando como iniciar o Windows 10 no “Modo Seguro com Rede”:
Extrair o arquivo descarregado e executar o Autoruns.exe file.
Na aplicação Autoruns, clique em “Options” no topo e desmarque as opções “Hide Empty Locations” e “Hide Windows Entries”. Após este procedimento, clique no ícone “Refresh”.
Cheque a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que pretende eliminar.
Pode escrever o seu caminho completo e nome. Note que alguns malwares escondem nomes de processos sob nomes legítimos de processos do Windows. Nesta fase, é muito importante evitar remover os ficheiros do sistema. Após localizar o programa suspeito que você deseja remover, clique com o botão direito do mouse sobre o seu nome e escolha “Delete”.
Após remover o malware através do aplicativo Autoruns (isso garante que o malware não será executado automaticamente na próxima inicialização do sistema), você deve procurar pelo nome do malware no seu computador. Certifique-se de ativar os arquivos e pastas ocultos antes de prosseguir. Se você encontrar o nome do arquivo do malware, certifique-se de removê-lo.
Reinicie o seu computador no modo normal. Seguindo estes passos, deve remover qualquer malware do seu computador. Note que a remoção manual de ameaças requer habilidades avançadas de computador. Se você não tiver essas habilidades, deixe a remoção de malware para programas antivírus e anti-malware. Essas etapas podem não funcionar com infecções avançadas por malware. Como sempre, é melhor prevenir a infecção do que tentar remover o malware mais tarde. Para manter seu computador seguro, instale as últimas atualizações do sistema operacional e use o software antivírus.
Para ter certeza de que seu computador está livre de infecções por malware, recomendamos que você o examine com Malwarebytes para Windows.