Cảnh báo mã độc mới đang lây lan rất nhanh trên Facebook

0
7155

Facebook đang xuất hiện một loại mã độc được phán tán thông qua Facebook Messenger, tuy nhiên người dùng sẽ không bị sao hết nếu lỡ click vào tệp đính kèm mã độc này và chưa mở tệp tin ra.

Gần đây, một loại mã độc mạo danh video đã được phát tán khá nhiều trên Facebook, cụ thể loại mã độc này được gửi qua phần tin nhắn inbox trên Facebook Messenger được đóng gói có đuôi .zip. Cách thức lây lan này không quá tinh vi và phức tạp, trước đây người dùng Facebook cũng đã từng nhiều lần gặp phải tình trạng lây lan virus tương tự.

Nhiều người lo ngại rằng, nếu lỡ click vào file đính kèm thì tài khoản hoặc máy của mình sẽ bị nhiễm virus. Tuy nhiên, nếu lỡ click vào thì cũng đừng lo, tài khoản và máy tính vẫn an toàn nếu người dùng không mở tệp tin được tải về này lên.

Vậy nếu mở tập tin này lên thì chuyện gì sẽ xảy ra? Theo phân tích từ các chuyên gia bảo mật, loại mã độc này được viết bằng ngôn ngữ AutoIT, theo đó, các hàm thực thi chính của mã độc được làm rối và ấn vào bên trong để khi các nhà phân tích mổ xẻ bên trong vẫn khó có thể nhận biết được mức độ nguy hại và chức năng chính của mã độc.

Sau khi phân tích các chuyên gia bảo mật đã phát hiện ra được chức năng chính của loại mã độc này. Cụ thể, đầu tiên mã độc này sẽ gửi thông tin máy bị lây nhiễm về địa chỉ hxxp://ojoku.bigih.bid/api/cherry/login.php. Tiếp sau đó mã độc này sẽ thực thi nhiệm vụ tải và cài đặt một extension độc hại vào trình duyệt, chức năng của extension là phát tán gián tiếp các tập tin mã độc giả mạo tương tự đến những người khác trên Facebook.  Tiếp theo mã độc này thực hiện việc ghi file shortcut chrome để load extension kia vào các thư mục như desktop, taskbar, program….

Cuối cùng mã độc sẽ khởi động lại chrome để extension thực thi và đính kèm thêm một loại mã độc khác là “coin minner” dùng để đào các loại tiền mã hoá, khiến cho máy luôn trong tình trạng giật lag mà không hiểu tại sao.

Làm sao để ngăn chặn mã độc này?

Hiện tại việc duy nhất để ngăn chặn mã độc này lây lan trên máy bạn nếu bạn lỡ click vào tập tin mã độc là sửa tập tin hosts và thêm vào các dòng sau (nếu bạn nào không biết sửa file host, tham khảo hướng dẫn tại đây):

127.0.0.1 ojoku.bigih.bid

127.0.0.1 plugin.ojoku.bigih.bid

Đây chỉ là một biện pháp thủ công và mang tính chất tạm thời vì kẻ tấn công có thể dễ dàng phát tán các mã độc khác với các tên miền khác. Khuyến cáo chung dành cho các bạn là không nên mở các tập tin lạ đến từ Facebook Messenger và sử dụng một chương trình AntiVirus để đảm bảo được an toàn.

Chúng tôi sẽ nhanh chóng cập nhật công cụ và hướng dẫn diệt mã độc nếu như máy bạn đã bị nhiễm. Hãy theo dõi genk để được cập nhật sớm nhất!

Tham khảo: Genk

Di Động Việt

ĐĂNG BÌNH LUẬN