”Facebook Messenger virus” borttagningsguide
Vad är ”Facebook Messenger virus”?
”Facebook Messenger virus” upptäcktes av Ido Naor. Cyberbrottslingar använder det för att sprida FormBook, ett trojanliknande program, genom att skicka olika filer via Facebook Messenger. Om filerna öppnas orsakar de installation av det ovan nämnda skadliga programmet.
Typiskt sett får människor dessa filer från sina Facebook-vänner som har installerat oönskade (skadliga) program som skickar skräppost. I vårt exempel är filen som bifogas Messenger-meddelandet ”video_13925.bz”. Detta arkiv innehåller en annan fil (”play_75367031.mp4.com”) som kan extraheras med 7-Zip. Om den öppnas laddas den ner och installerar FormBook Trojan. Detta program stjäl personuppgifter. Med hjälp av det kan cyberbrottslingar spela in tangenttryckningar och data från klippbordet, ta skärmdumpar, stjäla sparade lösenord/login och så vidare. Några av de stulna uppgifterna kan innehålla bankuppgifter. Cyberbrottslingar använder alla stulna uppgifter för att generera intäkter. Deras offer upplever vanligtvis problem som rör ekonomi (ekonomisk förlust), säkerhet vid surfning, integritet och andra problem. FormBook kan också användas för att orsaka nedladdning och installation av andra program, och därmed kan offren få sina datorer infekterade med andra skadliga program som t.ex. utpressningstrojaner. Om en dator är infekterad med FormBook bör den tas bort omedelbart.
| Namn | Facebook Messenger spam virus |
| Trotsammanfattning | Trojaner, Lösenordsstöldvirus, Bankprogram malware, Spionprogram. |
| Bilaga(r) | Flera arkivfiler (t.ex, ”video_13925.bz”) |
| Namn för upptäckt (video.exe) | Avira (TR/Autoit.oftwi), BitDefender (Trojan.GenericKD.41240919), ESET-NOD32 (en variant av Win32/Autoit.OHP), Kaspersky (UDS:DangerousObject.Multi.Generic), Full List Of Detections (VirusTotal) |
| Symptom | Trojaner är utformade för att smygande infiltrera offrets dator och vara tysta. Därför syns inga särskilda symptom tydligt på en infekterad maskin. |
| Payload | FormBook trojan |
| Distributionsmetoder | Infekterade e-postbilagor, skadliga annonser på nätet, social ingenjörskonst, programvarukracks. |
| Skada | Stulna bankuppgifter, lösenord, identitetsstöld, offrets dator läggs till ett botnät. |
| Borttagning av skadlig kod (Windows) |
För att eliminera eventuella infektioner med skadlig kod ska du skanna din dator med ett legitimt antivirusprogram. Våra säkerhetsforskare rekommenderar att du använder Malwarebytes. |
FormBook är bara ett av många program av trojan-typ. Exempel på andra liknande skadliga program är Adwind, TrickBot, Tefosteal och LokiBot. Trojaner stjäl vanligtvis konfidentiella, personliga uppgifter/information och för att sprida andra infektioner. Att ha en dator infekterad av dem leder vanligtvis till allvarliga problem.
Hur infekterade ”Facebook Messenger virus” min dator?
I det här fallet använder cyberbrottslingar Facebook Messenger för att sprida FormBook. De använder konton hos personer som har skadliga program installerade på sina datorer. Deras konton används för att sprida FormBook helt enkelt genom att skicka bifogade filer som, om de extraheras och öppnas, orsakar datorinfektioner. Det finns också andra sätt att sprida dessa skadliga program. Till exempel genom att använda skräppostkampanjer, trojaner, falska verktyg för programuppdatering, verktyg för att ”knäcka” programvara och olika tvivelaktiga källor för nedladdning av programvara. För att lura människor att installera oönskade program (eller datainfektioner) genom skräppostkampanjer skickar brottslingar e-postmeddelanden som innehåller skadliga bilagor. De bifogade filerna är vanligtvis Microsoft Office, PDF-dokument, arkiv (ZIP, RAR och andra), körbara filer, JavaScript-filer och så vidare. Om de öppnas laddar de ner och installerar skadliga program. Trojaner är program som är utformade för att sprida andra infektioner. När de installeras orsakar de kedjeinfektioner. Falska (inofficiella) verktyg för uppdatering av programvara hämtar och installerar vanligtvis oönskade program (skadlig kod) i stället för uppdateringar, korrigeringar eller utnyttjar buggar/fel i föråldrad programvara. Verktyg för att knäcka programvara är program som gör det möjligt för användare att undvika att betala för aktivering av programvara, men cyberbrottslingar använder dem ofta för att sprida datorinfektioner. I stället för att kringgå aktiveringen laddar dessa verktyg ofta ner och installerar skadliga program. P2P-nätverk (Peer-to-Peer), webbplatser för gratis filhosting, webbplatser för nedladdning av gratisprogram, inofficiella sidor, nedladdare från tredje part och andra liknande källor kan användas för att sprida skadlig kod. Vanligtvis presenteras skadliga filer (körbara filer) som legitima. Genom att ladda ner och öppna dem installerar människor ofta oönskade program och orsakar datorinfektioner.
Hur man undviker installation av skadlig kod?
Var försiktig med bilagor eller webblänkar som tas emot från okända, misstänkta adresser. Om e-postens ämne och sammanhang är irrelevant ska du inte öppna bilagan. Använd officiella och pålitliga källor för att ladda ner programvara. De ovan nämnda verktygen är inte de säkraste sätten. Det är viktigt att uppdatera installerad programvara med hjälp av implementerade funktioner och verktyg som tillhandahålls/utformats av officiella programvaruutvecklare. Om installerad programvara kräver betald aktivering bör den inte utföras med hjälp av ett ”cracking”-verktyg. Dessa är olagliga och orsakar ofta installation av skadliga program. Det är också viktigt att ha ett välrenommerat antivirusprogram och/eller antispionprogram installerat. Dessa verktyg kan upptäcka och ta bort olika hot innan de kan spridas eller göra skada. Om du redan har öppnat bilagan ”Facebook Messenger virus” rekommenderar vi att du kör en genomsökning med Malwarebytes för Windows för att automatiskt eliminera infiltrerad skadlig kod.
Skärmdump av filer som är bifogade till ett meddelande (placerade på skrivbordet) och FormBook-processen förklädd till ”Service Host: Local System” i Task Manager:
Instant automatisk borttagning av skadlig kod:Manuell borttagning av hot kan vara en långdragen och komplicerad process som kräver avancerade datorkunskaper. Malwarebytes är ett professionellt verktyg för automatisk borttagning av skadlig kod som rekommenderas för att bli av med skadlig kod. Ladda ner det genom att klicka på knappen nedan:
▼ DOWNLOAD MalwarebytesDär du laddar ner någon programvara som listas på den här webbplatsen godkänner du vår sekretesspolicy och våra användarvillkor. För att använda produkten med fullständiga funktioner måste du köpa en licens för Malwarebytes. 14 dagars gratis provversion finns tillgänglig.
Snabbmeny:
- Vad är ”Facebook Messenger virus”?
- STEG 1. Manuellt avlägsnande av FormBook malware.
- STEG 2. Kontrollera om datorn är ren.
Hur tar man bort skadlig kod manuellt?
Manuell borttagning av skadlig kod är en komplicerad uppgift – vanligtvis är det bäst att låta antivirus- eller antimalwareprogram göra detta automatiskt. För att ta bort denna skadlig kod rekommenderar vi att du använder Malwarebytes för Windows. Om du vill ta bort skadlig kod manuellt är det första steget att identifiera namnet på den skadlig kod som du försöker ta bort. Här är ett exempel på ett misstänkt program som körs på en användares dator:
Om du har kontrollerat listan över program som körs på din dator, till exempel med hjälp av Aktivitetshanteraren, och identifierat ett program som ser misstänkt ut, bör du fortsätta med dessa steg:
Ladda ner ett program som heter Autoruns. Det här programmet visar automatiskt startade program, register- och filsystemplatser:
Starta om datorn i felsäkert läge:
Windows XP- och Windows 7-användare: Starta datorn i felsäkert läge. Klicka på Start, klicka på Stäng av, klicka på Starta om, klicka på OK. Under datorns startprocess trycker du på F8-tangenten på tangentbordet flera gånger tills du ser menyn Avancerat alternativ i Windows och väljer sedan Säkert läge med nätverk i listan.
Video som visar hur du startar Windows 7 i ”Säkert läge med nätverk”:
Windows 8-användare: Starta Windows 8 i felsäkert läge med nätverk – Gå till startskärmen i Windows 8, skriv Avancerat och välj Inställningar i sökresultatet. Klicka på Avancerade startalternativ, i det öppnade fönstret ”Allmänna datorinställningar” väljer du Avancerad start. Klicka på knappen ”Starta om nu”. Datorn kommer nu att starta om till menyn ”Avancerade startalternativ”. Klicka på knappen ”Problemlösning” och klicka sedan på knappen ”Avancerade alternativ”. På skärmen för avancerade alternativ klickar du på ”Startinställningar”. Klicka på knappen ”Omstart”. Datorn startar om till skärmen Startup Settings (startinställningar). Tryck på F5 för att starta i felsäkert läge med nätverk.
Video som visar hur du startar Windows 8 i ”felsäkert läge med nätverk”:
Windows 10-användare: Klicka på Windows-logotypen och välj strömikonen. I den öppnade menyn klickar du på ”Restart” samtidigt som du håller in ”Shift”-knappen på tangentbordet. I fönstret ”Välj ett alternativ” klickar du på ”Felsökning” och väljer sedan ”Avancerade alternativ”. I menyn för avancerade alternativ väljer du ”Startup Settings” och klickar på knappen ”Restart”. I det följande fönstret bör du klicka på knappen ”F5” på ditt tangentbord. Detta kommer att starta om ditt operativsystem i felsäkert läge med nätverk.
Video som visar hur du startar Windows 10 i ”felsäkert läge med nätverk”:
Extrahera det nedladdade arkivet och kör Autoruns.exe-filen.
I programmet Autoruns klickar du på ”Alternativ” högst upp och avmarkerar alternativen ”Dölj tomma platser” och ”Dölj Windows-inlägg”. Efter denna procedur klickar du på ikonen ”Refresh”.
Kontrollera listan som tillhandahålls av Autoruns-applikationen och lokalisera den malware-fil som du vill eliminera.
Du bör skriva ner dess fullständiga sökväg och namn. Observera att vissa skadliga program döljer processnamn under legitima processnamn i Windows. I det här skedet är det mycket viktigt att undvika att ta bort systemfiler. När du har hittat det misstänkta programmet som du vill ta bort, högerklickar du med musen över dess namn och väljer ”Ta bort”.
När du har tagit bort skadlig kod via programmet Autoruns (detta säkerställer att skadlig kod inte kommer att köras automatiskt vid nästa systemstart) bör du söka efter namnet på skadlig kod på din dator. Se till att aktivera dolda filer och mappar innan du fortsätter. Om du hittar filnamnet på det skadliga programmet ska du se till att ta bort det.
Starta om datorn i normalt läge. Om du följer dessa steg bör du ta bort all skadlig kod från datorn. Observera att manuell borttagning av hot kräver avancerade datorkunskaper. Om du inte har dessa färdigheter bör du överlåta borttagning av skadlig kod till antivirus- och antimalwareprogram. De här stegen kanske inte fungerar med avancerade malware-infektioner. Som alltid är det bättre att förhindra infektion än att försöka ta bort skadlig kod senare. För att hålla din dator säker bör du installera de senaste uppdateringarna av operativsystemet och använda antivirusprogram.
För att vara säker på att din dator är fri från infektioner med skadlig kod rekommenderar vi att du skannar den med Malwarebytes för Windows.