תייגו אתכם בפייסבוק? אל תלחצו, זה כנראה וירוס

משתמשים רבים בישראל מדווחים בשעות האחרונות על כך שתיוג של חבריהם ברשת החברתית הוביל להורדה של קובץ; חוקרי אבטחה שחוקרים אותו מזהירים כי מדובר ככל הנראה בווירוס

עודד ירון
שתפו בפייסבוק
שתפו כתבה במיילשליחת הכתבה באימייל
שתפו כתבה במיילשליחת הכתבה באימייל
מעבר לטוקבקיםכתוב תגובה
הדפיסו כתבה
עודד ירון

משתמשים מדווחים הבוקר (א') על מה שנראה כמו וירוס חדש שמסתובב ברשת ומתחזה להתראות מפייסבוק. על פי הדיווחים, ההדבקה נעשית באמצעות הודעה על כך שמישהו מחבריכם תייג אתכם ברשת החברתית. 

בחלק ניכר מחשבונות הפייסבוק תיוג בהודעה מגיע גם כאימייל. לחיצה על ההודעה מובילה להורדה של קובץ ג'אווה-סקריפט, שכעת מנסים חוקרי אבטחה לפענח את השפעותיו. 

"קובץ הג׳אווה-סקריפט מכיל קוד מעורבל (בלתי קריא) וקבוצה של מחרוזות", הסביר ל"הארץ" עידו נאור, חוקר בכיר בצוות החוקרים של מעבדת קספרסקי (GReAT), שבודק גם הוא את הווירוס החדש. "הקוד המעורב משתמש במחרוזות כדי לפנות לשרת תקיפה ולהוריד קבצים.  השיטה היא להוריד קבצי וירוס שמתחזים לקבצי תמונה בסיומת שלהם. לאחר שהורדו לתיקייה, סקריפט זדוני ישנה את סיומת הקובץ ויוריד אותם". נאור ציין כי המאפיינים דומים נראו בתוכנות כופר לאחרונה.

על פי דיון ב-security.stackexchange.com, נראה שהקובץ מוריד תוסף זדוני לכרום. התוסף עושה כמה דברים ובהם חוסם אתרים של תוכנות אנטי-וירוס וממשיך להפיץ את עצמו בהודעות בפייסבוק. אחד החוקרים בדיון ציין שנראה כי חלקים בקוד מחזקים את הסברה שמדובר בתוכנת כופר ("די מחורבנת וחובבנית").

לדברי ארז שטנג, ארכיטקט אבטחת מידע וסייבר בחטיבת הסייבר של SECOZ שנרכשה ע"י BDO-זיו האפט ישראל, "מדובר בסקריפט בשם MARS שמופץ במטרה לבצע נזקים ולהחליף את הדפדפן הפעיל בשולחן העבודה בדפדפן חדש הכולל בתוכו רכיבים עוינים. בתוך הדפדפן החדש שמוחלף, מוחלפים גם קיצורי הדרך הקבועים ונטענים עם פתיחת הדפדפן מודולים חדשים שמשבשים את תהליך העבודה ומפעילים סוסים טרויאנים להוצאת מידע החוצה. לדבריו, מהתחקיר הראשוני נראה שלא מדובר בתוכנת כופר אלא בניסיונות לקבל שליטה על דפדפנים ודרכם להפנות חלק מהתעבורה לצרכי גניבת מידע.

נאור הזהיר לא ללחוץ על התיוג. אם אכן לחצתם והקובץ ירד, "יש לוודא שהאנטי-וירוס מעודכן ולעשות סריקה", אמר.

שטנג מ-SECOZ הוסיף כי הורדה של הקובץ ללא הפעלתו לא מפעילה את תהליך הפגיעה. לדבריו, "גלישה לאחד מאתרי האנטיוירוס היא דרך קלה יחסית לאתר אם המחשב נפגע או לא וכרגע הדרך המוכרת לנטרל את הפגיעה היא באמצעות מחיקת קבצים וניקוי רשימת הדפדפנים החסומים. אפשרות נוספת היא הסרה והתקנה מחדש של דפדפן הכרום". הוא המליץ כי משתמש שחושד שנדבק, צריך להחליף את כל הססמאות שלו לשירותים ואתרים שונים.

בפייסבוק בודקים את הנושא.

הקובץ שהווירוס מנסה להוריד למחשב. אל תלחצו. אם כבר הורדתם, הסירו ובצעו סריקת אנטי וירוס
הקובץ שהווירוס מנסה להוריד למחשב. אל תלחצו. אם כבר הורדתם, הסירו ובצעו סריקת אנטי וירוס

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ