Actualmente el mensaje se expande de esta forma:
- Hola! (tu nombre de usuario) has visto que sales en un video??
- Como estas! (tu nombre de usuario) ya vistes que sales en un video??
- Que tal (tu nombre de usuario) sabes que sales en un video??
Y presenta una imagen, en formato de video, con un enlace a un sitio dentro de blogspot.com (dominio de google), y carece de descripción válida (la mayoría dice: "Dime que te parece".
Estamos monitoreando Facebook para detectar más sitios que estén difundiendo este gusano... pero hasta el momento solo sabemos que existen los siguientes sitios que mencionaremos a continuación.
CUIDADO!
Entrar únicamente para reportar o comprender cómo funcionan los sitios infectados!
hosly22.blogspot.com Nombre: hosly22
gorth44.blogspot.com Nombre: blojj1
holk88.blogspot.com Nombre: holk88
guddp11.blogspot.com Nombre: guddp11
means2.blogspot.com Nombre: means1
bulyr22.blogspot.com Nombre: bulyr22
vulyt44.blogspot.com Nombre: vulyt44
fukity33.blogspot.com Nombre: fukity33
fukity22.blogspot.com Nombre: fukity22
means3.blogspot.com Nombre: means3
bulyr55.blogspot.com Nombre: bulyr55
gelko11.blogspot.com Nombre: gelko11
roter5.blogspot.com Nombre: roter5
vulyt55.blogspot.com Nombre: vulyt55
fukity44.blogspot.com Nombre: fukity44
gelko88.blogspot.com Nombre: gelko88
gelkh33.blogspot.com Nombre: gelkh33
rastar12.blogspot.com Nombre: rastar12
dutter11.blogspot.com Nombre: dutter11
poiuyt44.blogspot.com Nombre: poiuyt44
tytyty22.blogspot.com Nombre: bloyy5
goli11.blogspot.com Nombre: goli11
vulyt33.blogspot.com Nombre: vulyt33
bulyr44.blogspot.com Nombre: bulyr44
poiuyt33.blogspot.com Nombre: poiuyt33
floress22.blogspot.com Nombre: floress22
roter4.blogspot.com Nombre: roter4
gelkh44.blogspot.com Nombre: gelkh44
gelko33.blogspot.com Nombre: gelko33
hosly333.blogspot.com Nombre: hosly33
gelko22.blogspot.com Nombre: gelko22
hy6y6.blogspot.com Nombre: hy6y6
vulyt22.blogspot.com Nombre: vulyt22
roter2.blogspot.com Nombre: roter2
fukity55.blogspot.com Nombre: fukity55
floress11.blogspot.com Nombre: floress11
gorth11.blogspot.com Nombre: gorth11
gelko44.blogspot.com Nombre: gelko44
gelko55.blogspot.com Nombre: gelko55
tytyty33.blogspot.com Nombre: bloyy6
means55.blogspot.com Nombre: means55
means22.blogspot.com Nombre: means22
bloll7.blogspot.com Nombre: bloll7
holy22.blogspot.com Nombre: holy22
gelko77.blogspot.com Nombre: gelko77
dutter55.blogspot.com Nombre: dutter55
futtw33.blogspot.com Nombre: futtw33
guddp33.blogspot.com Nombre: guddp33
gelkh22.blogspot.com Nombre: gelkh22
roter1.blogspot.com Nombre: roter1
bulyr33.blogspot.com Nombre: bulyr33
julip99.blogspot.com Nombre: julip99
guddp44.blogspot.com Nombre: guddp44
hosly55.blogspot.com Nombre: hosly55
holk66.blogspot.com Nombre: holk66
foly22.blogspot.com Nombre: foly22
vulty11.blogspot.com Nombre: vulty11
fukity11.blogspot.com Nombre: fukity11
poiuyt11.blogspot.com Nombre: poiuyt11
futtw22.blogspot.com Nombre: futtw22
futtw55.blogspot.com Nombre: futtw55
julip33.blogspot.com Nombre: julip33
poiuyt55.blogspot.com Nombre: poiuyt55
goli33.blogspot.com Nombre: goli33
guddp22.blogspot.com Nombre: guddp22
tytyty11.blogspot.com Nombre: blojj2
means4.blogspot.com Nombre: means4
vulty22.blogspot.com Nombre: vulty22
rastar14.blogspot.com Nombre: rastar14
roter3.blogspot.com Nombre: roter3
julip22.blogspot.com Nombre: julip22
bloll8.blogspot.com Nombre: bloll8
dutter22.blogspot.com Nombre: dutter22
holk55.blogspot.com Nombre: holk55
bulyr11.blogspot.com Nombre: bulyr11
rastar13.blogspot.com Nombre: rastar13
vulyt11.blogspot.com Nombre: vulyt11
goli22.blogspot.com Nombre: goli22
gelkh11.blogspot.com Nombre: gelkh11
goli44.blogspot.com Nombre: goli44
vulty33.blogspot.com Nombre: vulty33
poiuyt22.blogspot.com Nombre: poiuyt22
foly333.blogspot.com Nombre: foly33
dutter33.blogspot.com Nombre: dutter33
hy6y7.blogspot.com Nombre: hy6y7
hosly44.blogspot.com Nombre: hosly44
tytyty44.blogspot.com Nombre: blouu7
julip88.blogspot.com Nombre: julip88
gorth33.blogspot.com Nombre: gh33
rastar15.blogspot.com Nombre: rastar15
gelko66.blogspot.com Nombre: gelko66
dutter44.blogspot.com Nombre: dutter44
foly44.blogspot.com Nombre: foly44
foly11.blogspot.com Nombre: foly11
holy11.blogspot.com Nombre: holy11
holk77.blogspot.com Nombre: holk77
rastar11.blogspot.com Nombre: rastar11
REPORTAR o DENUNCIAR estos sitios web
Blogger.com es propiedad de Google.com y es donde se alojan los dominios blogspot.com.
Lamentablemente para reportar el mal uso, tienen que ir por un formulario bastante complicado... y si los queremos reportar como virus o gusanos, o contenido peligroso, la opción está un poco compleja. Así que vamos a optar por reportarlos como SPAM, que es más simple:
http://support.google.com/blogger/bin/request.py?hl=es&contact_type=spam&rd=1
En ese enlace, veremos que nos pide el sitio a reportar, simplemente pegamos el dominio tal como lo hemos mencionado previamente y le damos "enviar".
Y listo... por lo menos cumplimos nuestra parte. Después el responsable de eliminar o no el contenido será la gente de Blogger.com
La imagen que veremos si llegamos a ingresar a alguno de los sitios web es la siguiente:
Tengan en cuenta, que simula estar dentro de Facebook, cuando es absolutamente FALSO. Estamos dentro de un sitio alojado en blogspot.com (que es blogger.com). Y nos pide instalar un plugin para ver el video, algo que tambien es absolutamente FALSO, ya que si queremos instalar el plugin, nos instala algo desde “vevideo.com.es” tal como mostramos:
NO debemos darle permiso para que nos descargue el software… ya que numerosas personas en Facebook están denunciando que es un virus que expande mensajes en nuestro muro de Facebook… por lo que logra la expansión total (o parcial) de los sitios web infectados (y no sabemos si causará daños a nuestra PC).
Nuestra investigación llegó hasta aquí, pero estaremos atentos a sitios especializados en seguridad informática para que nos aclaren si el “gusano” o “virus” que está expandiendo este sitio es maligno realmente (es decir que daña nuestra PC) o solo intenta expandirse por la red social.
He caído en el engaño, qué hago?
En el caso de que hayamos instalado el “plugin” falso, tenemos que:
* Si usamos Internet Explorer, aprender de una vez por todas que para navegar por Facebook es recomendado usar Chrome o Firefox. Si sois amantes de Internet Explorer, OK. Pero para Facebook instala Chrome o Firefox, que te protegerán mejor ante estos casos.
* Abre el apartado de extensiones de tu navegador web y busca "Youtube Extension". Luego, elimina esta extensión.
* Eliminar todos los archivos temporales y cookies.
* Reinicia tu navegador web.
* Listo.
Si aun así tus amigos te dicen que sigues enviando mensajes del video al muro, tendremos que:
* Actualiza tu antivirus (sea cual sea).
* Desconéctate de Internet. (SI!)
* Corre el antivirus… encontró algo? Elimínalo…
* Si no lo usas aun, descarga CCleaner, y corre Ccleaner en tu equipo. Eliminará spyware y bichos raros que hayas descargado inconscientemente mientras navegas por la web. Borra el cache y los archivos temporales.
* Reinicia la PC, vuelve a desconectarte de Internet.
(La mayoría de las PC actuales, se reconectan a Internet solas cuando se reinicia el equipo).
* Con esto debería bastar... y no deberías seguir enviando mensajes a los muros de tus amigos.
Limpieza de tu Facebook:
* Recuerda limpia tu muro, empieza a borrar los mensajes que se publicaron “solos”.
* Por las dudas, ingresa a http://www.facebook.com/editapps.php y elimina si hay alguna aplicación rara que desconozcas o no entiendas para qué sirve.
* Vuelve a correr Ccleaner (cerrando todos los navegadores web abiertos).
* Borra el cache de tus navegadores web (lo deberías haber borrado con ccleaner, pero por las dudas lo aclaro aquí).
* Reinicia tu PC.
* Listo!
Si aun así...
Si los problemas persisten, escríbenos aquí al debate dedicado para este tema y con gusto nos encargaremos.
Como lo dijimos anteriormente, no nos especializamos en virus. Desconocemos (porque no he probado instalarlo) si este plugin es o no un virus. Estamos esperando que sitios especializados en seguridad informática envíen sus informes sobre este tema.
Más información:
Para aquellos curiosos (como en mi caso), que quieren investigar el sitio vevideo.com.es, el mismo redirecciona automáticamente a una página llamada: servervideotube.com/?s=fb y nos pide permisos del ID de Windows Live (calculo que para hacer spam por mail).
Actualización 12 de Diciembre:
1- Nod32 detecta el/los sitios web que contienen este gusano como sitio peligroso y no te deja navegar por el mismo. Desconozco si otros antivirus están actuando igual que Nod32, por favor comentar si sobre el comportamiento de otros antivirus (gracias).
2- He actualizado la lista de sitios de blogger... hasta el día que publiqué este artículo, eran aproximadamente 50 sitios... hoy, hay 94 sitios. Algunos fueron borrados por blogger.com (seguramente gracias a vuestras denuncias), pero los sitios siguen reproduciendose... y blogger.com NO responde cómo denunciar al autor (si quieres, puedes unirte a la "demanda" aquí).
3- Con fines educativos, he encontrado el código que usa el atacante y lo comparto con ustedes:
Enlace a Pastebin
Por supuesto que el código fuente puede haber sido manipulado, y no ser exactamente el que usaron para crear estos sitios que infectan con el gusano, pero gran parte del script es este. Si se fijan bien, sale la foto que comparten por Facebook, y cómo lo hacen...
4- Agradecimientos públicamente a aquellos usuarios que han compartido nuestro artículo a través de Internet: Menealo en meneame.net, a la gente de NetConsultingMarketing, a Segu-Info, a Zoomred, y a los demás usuarios que si bien se esconden en el anonimato brindan excelentes aportes... muchas gracias a todos!
Espero les sea útil toda la información y compartan con sus amigos todo esto.
Fuente: MasFB
No hay comentarios:
Publicar un comentario