Gå til innhold

For de på Facebook som har trykket på viruset: "LOL <filnavn> .zip"


Gjest

Anbefalte innlegg

Hei,

 

siste to dagene har det spred deg seg et virus på Facebook via meldinger.

Det kommer en melding til deg som ser slik ut:

"LOL

<tilfeldig_filnavn>.zip"

 

Hva skjer når man laster ned?
Dette er en ZIP fil som inneholder en JAR-file (Java kjørbar fil, omtrent som en EXE-fil)

Når man kjører denne JAR-filen så lastes det ned en fil fra Dropbox som egentlig er en DLL (biblioteks-fil). Denne kjøres så med regsvr2 og oppretter da en kobling til dette i Windows.

Hva som skjer videre har jeg ikke undersøkt at jeg ikke nok kunnskaper til det.

 

Hvordan kan jeg ta det vekk?

Det beste rådet er å følge Når du trenger hjelp med å få fjernet virus, spyware etc.

Eventuelt bare å laste ned og kjøre Malwarebytes Anti-Malware som burde finne viruset og ta det vekk.

 

Virus-scan:

Anubis: https://anubis.iseclab.org/?action=result&task_id=1d3c4027c426ffb24154feefcad33393a

Jotti: http://virusscan.jotti.org/en/scanresult/e902987fee69e41197bff32392b3ad801b7d4716

Virustotal: https://www.virustotal.com/nb/file/0c3f6e7ce935f0bec86cbebb70abf30ad955d427a0efa220728152236100b338/analysis/1399619758/

EDIT:

 

Her er en Pastebin-lenke med kildekode av nedlastet JAR (etter utpakket ZIP): http://pastebin.com/WQEXv4WA

 

EDIT:
VG har også omtalt saken: http://www.vg.no/nyheter/innenriks/mobil-og-tele/advarer-mot-nytt-facebook-virus/a/10123330/

Endret av Gjest
Lenke til kommentar
Videoannonse
Annonse

Veldig bra!

Kunne du sendt meg zip-fila på PM tro?

Har den ikke tilgjengelig, men selve JAR-filen gjør ikke stort, du kan laste ned en av DLL-filene fra dropbox-lenken om den er tilgjengelig (prøv de nederste).

Lenken til pastebin for Dropbox-lenkene finnes i spoiler

 

 

EDIT:

Har også meldt i fra til Dropbox-team med lenkene, de kan forsvinne når som helst.

Endret av Gjest
Lenke til kommentar
Gjest Slettet-3t93k9

EDIT: Muttern hadde heldigvis bare åpnet på telefon :)

Endret av Slettet-3t93k9
Lenke til kommentar

Hei! Så, ved et uhell lastet ned denne «lol» (….)fil viruset :wallbash: Ser ut til at jeg ikke har sendt det videre enda. Tenkte ikke noe på det før i etterkant. Når jeg skrudde på dataen dagen etter var både brannmuren og anti-virusprogrammet (Trend Micro Titanium) deaktivert. Fikk heldigvis startet igjen når jeg restartet datamaskinen. Skannet gjennom datamaskina (med både Trend Micro og Malewarebytes), og sto at viruset hadde blitt fjernet. Startet så datamaskinen i sikkerhetsmodus, og skannet med Malewarebytes, uten at den fant noe denne gangen. Har avinstallert Java, og lastet det ned igjen. Tror dere at viruset er borte? Eller må jeg gjøre mer for å være på den sikre siden?

Lenke til kommentar

Heisann

 

 

Kan du laste opp loggen som Malwarebytes lagde?

Loggen ble automatisk lagret av MBAM og kan også bli observert ved å klikke på History fanen og velge Application Logs.

Klikk på Export Log knappen. Velg Text file (*.txt), og lagre loggen på Skrivebordet.

 

Vanskelig å si om du er helt ren uten å se logger fra DDS. Har ikke vært borti logger fra dette viruset enda, så vet ikke helt hva som skal til for å fjerne det.

Endret av r2d290
Lenke til kommentar

Er det denne du mener?
Her er fra første hurtigskann:

 

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Databaseversjon: v2014.05.12.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.17105
Anonym :: Anonym [administrator]

12.05.2014 22:37:54
mbam-log-2014-05-12 (22-37-54).txt

Skanntype: Hurtigsøk
Aktiverte skanningsinnstillinger: Minne | Oppstart | Register | Filsystem | Heuristikk/Ekstra | Heuristikk/Shuriken | PUP | PUM
Deaktiverte skanninnstillinger: P2P
Objekter skannet: 261383
Tid tilbakelagt: 39 minutt(er), 44 sekund(er)

Minneprosesser oppdaget: 0
(Ingen skadelige objekter funnet)

Minnemoduler oppdaget: 0
(Ingen skadelige objekter funnet)

Registernøkler oppdaget: 1
HKCU\Software\AppDataLow\Software\PriceGong (PUP.Optional.PriceGong.A) -> Satt i karantene og slettet vellykket.

Registerverdier oppdaget: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|svchost (Backdoor.Bot) -> Data: regsvr32 /s "C:\Temp:1CF88425.dat" -> Satt i karantene og slettet vellykket.

Registerfiler oppdaget: 0
(Ingen skadelige objekter funnet)

Mapper oppdaget: 0
(Ingen skadelige objekter funnet)

Filer oppdaget 1
c:\temp:1cf88425.dat (Backdoor.Bot) -> Satt i karantene og slettet vellykket.

(klar)

 

 

 

Dette er den fullstendige skanningen:

 

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Databaseversjon: v2014.05.12.08

Windows 7 Service Pack 1 x64 NTFS (Sikkerhetsmodus)
Internet Explorer 11.0.9600.17105
anonym :: anonym [administrator]

12.05.2014 23:49:58
mbam-log-2014-05-12 (23-49-58).txt

Skanntype: Full skann (C:\|E:\|)
Aktiverte skanningsinnstillinger: Minne | Oppstart | Register | Filsystem | Heuristikk/Ekstra | Heuristikk/Shuriken | PUP | PUM
Deaktiverte skanninnstillinger: P2P
Objekter skannet: 766216
Tid tilbakelagt: 3 time®, 13 minutt(er), 50 sekund(er)

Minneprosesser oppdaget: 0
(Ingen skadelige objekter funnet)

 

Minnemoduler oppdaget: 0
(Ingen skadelige objekter funnet)

 

Registernøkler oppdaget: 0
(Ingen skadelige objekter funnet)

 

Registerverdier oppdaget: 0
(Ingen skadelige objekter funnet)

 

Registerfiler oppdaget: 0
(Ingen skadelige objekter funnet)

 

Mapper oppdaget: 0
(Ingen skadelige objekter funnet)

 

Filer oppdaget 0
(Ingen skadelige objekter funnet)

(klar)

 

 

 

Håper det er de rette loggene!

Lenke til kommentar

Takk, det var riktig. Greit å ha liggende for sammenlikning hvis det er flere som får dette.

 

Hvis du merker noe videre problemer, eller bare ønsker å ta en sjekk, kan du følge veiledningen i signaturen min, og poste logger i en ny tråd.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...