Κυριακή, 7 Νοεμβρίου 2010

Προσοχή !!!! Νέος ιός στο facebook. Οδηγός για να καθαρίσετε τον ιό απο τον υπολογιστή σας !!!!

Πηγή : http://www.kgk.gr/2010/10/31/facebook-surprise/  

Συγγραφέας: Κωνσταντίνος Γκουτζής

Αν λάβετε ένα μήνυμα στο Facebook από κάποιον φίλο σας που λέει “I got you a surprise”, ΜΗΝ πατήσετε στο link γιατί θα σας οδηγήσει σε έναν ιό.

Αν πατήσατε όμως στο link και κατεβάσατε και εκτελέσατε τον ιό, χωρίς να σας σταματήσει το antivirus σας, τότε έχετε κολλήσει τον ιό επειδή το antivirus που χρησιμοποιείτε δεν γνωρίζει ακόμη την ύπαρξή του.

Ο ιός ξεκίνησε να εξαπλώνεται στις 30 Οκτωβρίου ενώ ακόμα είναι άγνωστο από που προέρχεται.


Αν τον έχετε κολλήσει, τότε ήδη στέλνετε μηνύματα σε όλους τους φίλους σας στο Facebook, άθελά σας, όπου τους προτρέπετε να τον κολλήσουν και εκείνοι.

Παρακάτω ακολουθεί ένας οδηγός με βήματα, για να μπορέσετε να ξεφορτωθείτε τον ιό που κολλήσατε.
Στο τέλος του άρθρου ακολουθεί και ο ίδιος οδηγός στα Αγγλικά για όποιον έχει αγγλικά windows.




Πατήστε παρακάτω στο "Read more - Διαβάστε περισσότερα" για να διαβάσετε ολόκληρο το άρθρο.  ΒΗΜΑ #1: ΚΑΝΤΕ LOGOUT!


Αν κάνετε logout, ο ιός θα χάσει την πρόσβαση στο account σας και δε θα μπορεί να στείλει άλλα μηνύματα. Μην κλείσετε απλά τον browser, κάντε
αποσύνδεση.


ΒΗΜΑ #2: ΣΒΗΣΤΕ ΤΟ photo.exe


Είναι το αρχείο ιός που κατεβάσατε από τη σελίδα που οδηγηθήκατε. Λογικά υπάρχει αποθηκευμένο εκεί όπου βάζετε τα downloads σας.



ΒΗΜΑ #3: ΣΒΗΣΤΕ ΤΑ ΠΑΙΔΙΑ ΤΟΥ photo.exe


Μόλις τρέξατε το photo.exe, δημιούργησε δύο νέα αρχεία για να κάνουν τη δουλειά του. Αυτά τα αρχεία αρχικά είχαν το όνομα 1.exe και 2.exe όμως στη συνέχεια μετονομάστηκαν σε δύο άλλα τυχαία ονόματα. Για να τα εντοπίσετε θα πρέπει να μπείτε στο φάκελο όπου έχουν αποθηκευτεί.


Στην περίπτωση που εξέτασα, τα αρχεία μπήκαν στον κρυφό φάκελο Application Data του τρέχοντος Windows (XP/2000/NT) account. Για να αποκτήσετε πρόσβαση σε αυτόν τον φάκελο, είτε γράψτε στο address bar:
C:\Documents and Settings\USERNAME\Application Data (όπου USERNAME είναι το όνομα του account σας για τα Windows), είτε εμφανίστε τα κρυφά αρχεία και φακέλους και μετά μπείτε My Computer – Documents and Settings – USERNAME – Application Data. Σημείωση: για τους χρήστες των Windows 7/Vista, η διαδρομή είναι C:\Users\USERNAME\AppData\Local .

(Windows
XP/2000/NT: Για να εμφανίσετε τακρυφά αρχεία, ανοίξτε το My Computer και πατήστε Tools – Folder Options – View – Hidden Files and Folders – Show hidden files and folders – OK).

(Windows
7/Vista: Για να εμφανίσετε τα κρυφάαρχεία, ανοίξτε το My Computer και πατήστε Organize – Folder and Search Options – View – Show hidden files, folders and drives – OK).

Στο Application Data θα βρείτε διάφορους υποφακέλους όμως το μόνο αρχείο που θα πρέπει να υπάρχει χύμα είναι το κρυφό desktop.ini. Λογικά εκεί θα βρείτε τα δύο εκτελέσιμα αρχεία με παράξενα ονόματα που είναι τα παιδιά του ιού. Μην τα τρέξετε! Προσπαθήστε να τα σβήσετε με Shift Delete (για να μην πάνε καν στον κάδο ανακύκλωσης) όμως αν δε σας αφήνει να σβήσετε κάποιο επειδή ήδη τρέχει, τότε πατήστε δεξί click πάνω στην μπάρα του Start και επιλέξτε
Task Manager (ανοίγει επίσης και με Ctrl Alt Del). Από εκεί βρείτε το όνομα του αρχείου που δεν μπορείτε να σβήσετε (επειδή ήδη τρέχει), κάντε του δεξί click και πατήστε End Task. Μόλις κλείσει σβήστε το και σιγουρευτείτε ότι έχουν εξαφανιστεί και τα δύο από τον φάκελο.

Επιπλέον συμβουλή
: Οι χρήστες των Windows 7/Vista θα πρέπει να κοιτάξουν και στους υποφακέλους C:\Users\USERNAME\AppData\Roaming\Microsoft\ και C:\Users\USERNAME\AppData\Roaming\Microsoft\Windows\ για χύμα executable αρχεία που δημιουργήθηκαν την ημέρα που κόλλησαν τον ιό, τα οποία είναι επίσης παιδιά του ιού.


ΒΗΜΑ #4: SCHEDULED TASKS


Τα ονόματα των δύο αρχείων έχουν μπει και στη λίστα με τα scheduled tasks του υπολογιστή σας ώστε να εκτελούνται όποτε επιλέγουν. Παρόλο που πλέον σβήσατε τα αρχεία, είναι καλό να τα αφαιρέσετε και από τα Scheduled Tasks. Πατήστε Start – Control Panel – Scheduled Tasks και αφαιρέστε τα δύο tasks με τα περίεργα ονόματα αρχείων που μόλις σβήσατε.
Σημείωση: στα Windows 7/Vista θα το βρείτε στο Start - Control Panel - System and Security - Administrative Tools - Scheduled Tasks.


ΒΗΜΑ #5.1: ΚΑΘΑΡΙΣΤΕ ΤΟΝ ΙΟ SECURITY TOOL


Σύμφωνα με όσες πληροφορίες έχω συλλέξει, το πρώτο εκτελέσιμο χρησιμοποιεί το Facebook mobile messaging protocol για να εκμεταλλευτεί το Facebook session id σας και να στείλει μηνύματα σε όλους τους φίλους σας, ενώ το δεύτερο εκτελέσιμο εγκαθιστά το Security Tool (
http://www.kgk.gr/2008/11/18/your-computer-is-infected/ ), το οποίο σταδιακά θα καθυστερεί τον υπολογιστή σας και θα σας περιορίσει την πρόσβαση στο Web. Το δεύτερο εκτελέσιμο όμως θα ενεργοποιηθεί μόνο αφού ολοκληρωθεί η διαδικασία μαζικών μηνυμάτων του πρώτου εκτελέσιμου οπότε, με βάση αυτό, έχετε περιορισμένο χρόνο να δράσετε πριν ο υπολογιστής σας πάψει να ανταποκρίνεται.

Αν δεν τον έπιασε ήδη το antivirus σας, χρησιμοποιήστε την ελεύθερη έκδοση του Malwarebytes' Anti-Malware (
http://www.malwarebytes.org/mbam-download.phphttp://www.combofix.org/download.php ) αλλά προσοχή γιατί το "Security Tool" μπορεί να αναγνωρίσει τα ονόματα των αρχείων τους και να σας σταματήσει από το να τα εγκαταστήσετε. Κατεβάστε τα antivirus από έναν καθαρό υπολογιστή, βάλτε τα σε ένα flash USB stick, αλλάξτε τους το όνομα σε κάτι άλλο (combofix.exe -> notme.exe) και μετά εγκαταστήστε τα στον μολυσμένο υπολογιστή. Αν ο μολυσμένος υπολογιστής είναι ήδη πολύ αργός και δεν αποκρίνεται, κάντε login σε Safe Mode χρησιμοποιώντας το πλήκτρο F8 όταν φορτώνει ο υπολογιστής σας και ξαναπροσπαθήστε από εκεί. Ο ιός "Security Tool" μπορεί να καθαριστεί εντελώς χωρίς να χρειαστείτε να κάνετε format στον υπολογιστή σας. ) ή του ComboFix (
Και, φυσικά, μην σκεφτείτε καν να αγοράσετε το ψεύτικό antivirus που προσφέρει το "Security Tool" γιατί θα σας κλέψουν τα στοιχεία της πιστωτικής σας κάρτας.


ΒΗΜΑ #5.2: ΤΑ ΠΡΟΣΩΡΙΝΑ ΑΡΧΕΙΑ


Σε κάποιες μεταλλάξεις του ο ιός αφήνει ίχνη του και στα προσωρινά αρχεία του υπολογιστή σας. Ο temporary folder των Windows έχει μέσα άχρηστα αρχεία που έχουν ξεμείνει από προγράμματα και είναι το ιδανικότερο μέρος να κρυφτεί κάποιο παρακλάδι του ιού. Για να σβήσετε τα αρχεία αυτά, πατήστε Start – Run – γράψτε
%Temp% και πατήστε OK. Στο φάκελο που άνοιξε μπορείτε να σβήσετε ελεύθερα όλα τα αρχεία και φακέλους. Αν κάποιο .exe δε σβήνει επειδή τρέχει εκείνη τη στιγμή, τότε υπάρχουν μεγάλες πιθανότητες πως είναι μέρος του ιού. Κλείστε το, όπως πριν, και μετά σβήστε το.


ΒΗΜΑ #5.3: ΤΟ WINDOWS FIREWALL


Όσοι δεν έχετε βάλει δικό σας firewall τότε χρησιμοποιείτε το firewall των Windows. Σε αρκετές περιπτώσεις το “Security Tool” φροντίζει να κλείνει το
Windows firewall ώστε να δρα ανενόχλητο, οπότε πρέπει να δείτε ότι είναι ανοιχτό. Πατήστε Start – Control Panel – Windows Firewall, σιγουρευτείτε ότι γράφει On και πατήστε OK.


ΒΗΜΑ #5.4: ΑΝ ΔΕ ΣΑΣ ΒΑΖΕΙ ΣΤΟ WEB


Αν κάνατε όλα τα παραπάνω και ακόμη δε μπορείτε να μπείτε σε ιστοσελίδες, τότε ίσως ο ιός άφησε πίσω του μια ξεχασμένη επιλογή. Όσο ήταν ενεργός, δρομολογούσε όλες τις σελίδες που μπαίνατε μέσω αυτού, όμως επειδή δεν υπάρχει πια, δε μπορείτε να μπείτε πουθενά. Πρέπει να απενεργοποιήσετε τα proxy settings όλων των browsers του υπολογιστή σας ώστε να μη χρησιμοποιούν πια proxy. Κάντε πρώτα τον
Internet Explorer επειδή επηρεάζει περισσότερο το σύστημά σας: Tools – Internet Options – Connections – LAN Settings – αποεπιλέξτε το Use a proxy server for your LAN – OK. Επίσης, αν έχετε Firefox: Tools – Options – Advanced – Network – Settings – No proxy – OK.


ΒΗΜΑ #5.5: ΑΝ ΣΕΡΝΕΣΤΕ ΑΚΟΜΗ


Αν όλα έχουν πάει καλά, τότε πλέον έχετε καθαρίσει τα αρχεία του ιού από τον υπολογιστή σας. Όμως αν η σύνδεση του Internet σας σέρνεται υπερβολικά, ίσως το “Security Tool” να πείραξε το
hosts file του υπολογιστή σας. Για παν ενδεχόμενο μπορείτε να μπείτε στη σελίδα http://support.microsoft.com/kb/972034 της Microsoft και να πατήσετε το κουμπί “Fix it” για να επιδιορθωθεί αυτόματα. Στην ίδια σελίδα υπάρχουν και οι χειροκίνητες οδηγίες αν το προτιμάτε.


ΒΗΜΑ #6: ΣΥΝΤΗΡΗΣΗ

    1) Αλλάξτε κωδικό στο Facebook (για παν ενδεχόμενο). 2) Αδειάστε τον κάδο ανακύκλωσης. 3) Καθαρίστε την προσωρινή μνήμη όλων των browsers του υπολογιστή σας (history, cookies, temporary files, κλπ). 4) Ανανεώστε το antivirus σας και κάντε πλήρη έλεγχο του υπολογιστή για ιούς. 5) Ανανεώστε τα Windows με τα πιο πρόσφατα updates (από το Control Panel) 6) ΜΗΝ ΞΑΝΑΝΟΙΞΕΤΕ ΠΟΤΕ LINK ΠΟΥ ΔΕΝ ΕΙΣΤΕ ΣΙΓΟΥΡΟΙ ΤΙ ΕΧΕΙ ΜΕΣΑ και αν το ανοίξετε ΜΗΝ ΚΑΤΕΒΑΣΕΤΕ ΚΑΝΕΝΑ ΑΡΧΕΙΟ, ΙΔΙΩΣ ΕΚΤΕΛΕΣΙΜΟ.

Κωνσταντίνος Γκουτζής

ΥΓ1 : Οι χρήστες MacOS δεν επηρεάζονται από το photo.exe (εκτός και αν τρέχουν Windows σε Bootcamp).

ΥΓ2
: Αν μολυνθείτε, είναι καλό να βάλετε ένα status message όπου θα λέτε σε όλους να ΜΗΝ ανοίξουν τα μηνύματά σας.

ΥΓ3
: Ο συγκεκριμένος ιός είναι φτιαγμένος για Windows (.exe) και τρέχει μόνο σε συσκευές με λειτουργικό σύστημα Windows. Ο λόγος που τα μηνύματα εμφανίζονται ότι στέλνονται από mobile συσκευές είναι επειδή εκμεταλλεύεται το mobile πρωτόκολλο του Facebook για να στέλνει μαζικά μηνύματα από εξωτερικό εκτελέσιμο πρόγραμμα με τη χρήση του κλεμμένου session id από τον browser. Οπότε, όχι, το iPhone σας δε θα γίνει zombie, επειδή δε μπορεί να τρέξει τον ιό.

ΥΓ4
: Μελλοντικοί ιοί που ίσως μοιραστούν με τον ίδιο τρόπο μπορεί να "φροντίσουν" να απευθύνονται σε όλα τα λειτουργικά συστήματα οπότε, σε όποια συσκευή και αν κάθεστε, να προσέχετε τι ανοίγετε.

======================================================================


Παρακάτω ακολουθεό ο ίδιος οδηγός στα Αγγλικά :

Facebook Surprise (English version)

If you receive a Facebook message from a friend saying: “I got you a surprise“, DO NOT CLICK ON THE LINK because it will lead you to a virus.
If you did click on the link and downloaded and executed virus, without your antivirus stopping you, then you have been infected because the antivirus you are using is not yet aware of the existence of this virus.
If you have been infected, then you are already sending messages to all your Facebook friends, without your knowledge, urging them to get infected as well.

STEP #1: LOGOUT!

If you logout, then the virus will lose access to your Facebook account and will not be able to send any more messages. Do not just close the browser, log out first (in order for the session to end).

STEP #2: DELETE photo.exe

This is the virus file you downloaded from the website you were redirected to. It is probably stored together with all your downloaded files.

STEP #3: DELETE THE OFFSPRING OF photo.exe

As soon as you executed photo.exe, it created two new files to do its job. Those files were initially named 1.exe and 2.exe but they were immediately renamed to two other random names. In order to track them down you have to enter the folder where they are stored.
In the case I examined, the files were stored in the Application Data folder of the running Windows (XP/2000/NT) account. In order to gain access to this folder, you can either type it into the address bar: C:\Documents and Settings\USERNAME\Application Data (where USENAME is the name of your Windows account), or enter it manually from My Computer – Documents and Settings – USERNAME – Application Data if you first unhide the Hidden files and Folders. Note: for Windows 7 / Vista users, the path is C:\Users\USERNAME\AppData\Local .
(Windows XP/2000/NT: In order to make the hidden files and folders appear, open My Computer and click on Tools – Folder Options – View – Hidden Files and Folders – Show hidden files and folders – OK).
(Windows 7/Vista: In order to make the hidden files and folders appear, open My Computer and click on Organize – Folder and Search Options – View – Show hidden files, folders and drives – OK).
Inside Application Data you will find many subfolders but the only file that should be in this folder is the hidden file desktop.ini. Based on what I have seen, you will find the two funny named offspring of the virus in here. DO NOT EXECUTE THEM! Try and delete them using Shift Delete (so that they won’t even go to the Recycle Bin) but if the system won’t let you delete one of them because it is already running, then right click on the Start bar and select Task Manager (this also opens from Ctrl Alt Del). On this list, find the name of the executable file that you cannot delete (because it is already running), right click it and select End Task. As soon as it stops running delete it and make sure that both files are no longer in this folder.
Extra tip: Windows 7/Vista users will have to also look inside the subfolders C:\Users\USERNAME\AppData\Roaming\Microsoft\ and C:\Users\USERNAME\AppData\Roaming\Microsoft\Windows\ for executable files which were created on the day they were infected by the virus, because those are also offspring of the virus.

STEP #4: SCHEDULED TASKS

The names of these two files have also been inserted in the scheduled tasks of your computer so that they can be executed whenever they want. Even though you just deleted the files, it is good practice to also remove these two redundant tasks. Click on Control Panel – Scheduled Tasks and remove the two tasks that contain the funny names of the files you just deleted. Note: in Windows 7/Vista you will find this at Start – Control Panel – System and Security – Administrative Tools – Scheduled Tasks.

STEP #5.1: CLEAN THE SECURITY TOOL VIRUS

Based on the information I have gathered, the first executable uses the Facebook mobile messaging protocol to abuse your active Facebook session id and message all your friends, while the second executable installs the “Security Tool” virus, which will eventually slow down your computer and restrict your Web access. The second executable, though, will become active only after the messaging of the first executable completes so, based on this fact, you only have a limited amount of time to act before your computer becomes almost unresponsive.
If your antivirus hasn’t cleaned it already, use the free version of Malwarebytes’ Anti-Malware or ComboFix but beware, the “Security Tool” virus can recognize their filenames and may stop you from installing them. Download the antivirus tools from a clean computer onto a flash USB stick, rename them to something else (combofix.exe -> notme.exe) and then install them on the infected computer. If the infected computer is too unresponsive already, log into Safe Mode using the F8 key when the computer boots up and try again there. The “Security Tool” virus can be completely removed without having to format your computer.
And, of course, do not even think of buying the fake antivirus that the “Security Tool” is offering because they will steal your credit card information.

STEP #5.2: THE TEMPORARY FILES

In some mutations of the virus, some files are left behind in the temp folder of your computer. The Windows temporary folder has lots of unneeded files inside, which have been left behind from some applications, and it is the best place for a virus file to hide. In order to delete those files, click Start – Run – type %Temp% and click OK. Inside the folder that just opened you can freely delete all the contained files and folders. If some .exe cannot be currently deleted, then there are high chances that it is part of the virus. End its task, as before, and then delete it.

STEP #5.3: THE WINDOWS FIREWALL

If you have not installed your own firewall then you are using the firewall of Windows. In many cases the “Security Tool” turns off the Windows firewall so that it can do whatever it wants freely, so you have to check that it is on. Click Start – Control Panel – Windows Firewall, make sure that it says On and click OK.

STEP #5.4: IF YOU CAN’T USE THE WEB

If you have done everything mentioned above but you still cannot access any websites, then maybe the virus has left a forgotten setting behind. While it was active, it rerouted all the sites you viewed via the virus, but now that it no longer exists, you cannot access anything. You have to disable the proxy settings of all the browsers in your computer so that they will not stop using proxies. Do Internet Explorer first because it affects your system the most: Tools – Internet Options – Connections – LAN Settings – uncheck Use a proxy server for your LAN – OK. Also, if you have Firefox: Tools – Options – Advanced – Network – Settings – No proxy – OK.

STEP #5.5: IF YOUR SYSTEM IS STILL SLOW

If everything has gone according to plan, then you have now removed all the files of the virus from your computer. But if your Internet connection is still way too slow, then maybe the “Security Tool” messed with the hosts file of your computer. Just in case, you can visit http://support.microsoft.com/kb/972034 offered by Microsoft, click on the “Fix it” button and the problem will be automatically fixed. In the same page you can find instructions on how to do the same thing manually, if you prefer.

STEP #5: MAINTENANCE

  1. Change your Facebook password (just in case).
  2. Empty your Recycle Bin.
  3. Clear the temporary cache of all the web browsers in your computer (history, cookies, temporary files, etc).
  4. Update your antivirus database and run a full computer scan for viruses.
  5. Update your Windows from the Control Panel update menu.
  6. DO NOT OPEN A LINK YOU ARE NOT SURE WHAT IT CONTAINS EVER AGAIN and if you open it DO NOT DOWNLOAD ANY FILES FROM IT, ESPECIALLY EXECUTABLES.
This virus started spreading around October 30 and it is still unknown where it is coming from. If I find out anything else concerning how to remove this virus, I will update this article. Good luck.

Konstantinos Gkoutzis

PS1: MacOS users are not affected by photo.exe (unless they are running Windows on Bootcamp)
PS2: If you have been infected, you should probably set a status message asking everyone to NOT open your messages
PS3: This specific virus is made specifically for Windows (.exe) and can only be executed on devices using the Windows operating system. The reason that the messages appear to be sent from mobile devices is because the virus abuses the mobile protocol of Facebook to send mass messages from an external application using a stolen session id from the browser. So, no, your iPhone will not turn into a zombie because it cannot execute this virus.
PS4: Future viruses which may propagate using the same way might make sure that they address all operating systems so, whichever device your are using, be careful what you open.