Facebook Virus

Guida alla rimozione del virus Facebook

Che cos’è Facebook?

Facebook Virus è un nome generico per tutti i virus legati al social network Facebook. La lista dei malware legati a Facebook è piuttosto lunga. Questi virus sono tipicamente proliferati tramite Facebook messenger – i criminali dirottano account di utenti casuali e proliferano virus tramite messaggi privati. Si noti che il comportamento di questi virus non è identico.

Come menzionato sopra, un vasto malware è distribuito attraverso il social network Facebook. Anche se il comportamento è diverso, la maggior parte di questo malware ha almeno una cosa in comune: tipicamente registra dati sensibili (sequenze di tasti, login/password, ecc.) Abbiamo anche affermato che questi virus sono tipicamente proliferati utilizzando account utente casuali. I criminali informatici progettano script maligni per dirottare gli account di Facebook e inviare vari link a tutti i contatti. Nella maggior parte dei casi, questi link sembrano legittimi, poiché i criminali inseriscono anche testo ed emoji per rendere i messaggi più credibili e amichevoli. In realtà, dopo aver cliccato su questi link, gli amici degli utenti spesso visitano siti web dannosi o eseguono altri script che infettano i loro computer e browser web. In alcuni casi, gli utenti vengono reindirizzati a siti fraudolenti che offrono “offerte fantastiche”, tuttavia, i criminali utilizzano questi siti solo per estorcere denaro agli utenti ignari e/o rubare informazioni riservate. Inoltre, alcuni virus di Facebook sono distribuiti utilizzando i post sulle pareti di Facebook. Gli account Facebook dirottati pubblicano post ingannevoli sulla propria timeline (o su quella degli amici), tuttavia, come per i messaggi privati, anche questi post contengono link a siti dannosi. Il risultato è identico.

Un vecchio e popolare esempio di virus di Facebook è “Ryanair Scam”. Rilasciato per la prima volta nel 2016, il modello di scam è semplice: gli utenti ricevono un messaggio che afferma che la compagnia aerea Ryanair sta celebrando il suo 35° compleanno e, quindi, gli utenti possono presumibilmente vincere biglietti per due voli gratuiti. Questa compagnia è stata fondata nel 1994 e, quindi, al momento del rilascio di “Raynair Scam”, la compagnia aerea aveva 32 anni. Il post contiene una falsa carta d’imbarco con il logo Ryanair e reindirizza a una varietà di altri siti dannosi che incoraggiano gli utenti a compilare moduli che richiedono dettagli personali. Gli utenti ignari sono spesso ingannati e forniscono effettivamente queste informazioni, mettendo così a rischio la loro privacy – i criminali informatici possono facilmente abusare dei dati personali (ad esempio, le informazioni bancarie, ecc) con l’intenzione di generare entrate.

Un altro popolare virus di Facebook è chiamato “Ray Ban Scam”. I criminali proliferano messaggi privati con link dannosi che promuovono siti web dubbi che presumibilmente vendono occhiali Ray Ban a prezzi molto bassi, tuttavia, dopo aver inviato il pagamento, gli utenti non ricevono nulla in cambio e perdono i loro soldi. Nella maggior parte dei casi, gli utenti infettati da questo virus hanno un tipo di ‘keygen’ (che raccoglie varie password e le invia ai server dei cyber criminali) installato sui loro computer. Questo malware utilizza anche account dirottati per promuovere questi siti web (ad esempio, crea eventi, gruppi di chat, pubblica offerte sulla timeline e tagga gli amici delle vittime, ecc.) Nel caso di una tale infezione, cambia immediatamente le password del tuo account e annulla tutti i pagamenti/transazioni inviati.

Riassunto della minaccia:
Nome Malware per Facebook
Tipo di minaccia Trojan, Virus per il furto di password, Phishing malware, Spyware
Dominio/i correlato/i m.facebook.com-vm-auwlyduxgo.brahimsfoodcom
Sintomi I trojan sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere silenziosi, quindi nessun sintomo particolare è chiaramente visibile su una macchina infetta.
Metodi di distribuzione Allegati e-mail infetti, pubblicità online dannose, social engineering, software cracks.
Danni Informazioni bancarie rubate, password, furto d’identità, il computer della vittima aggiunto a una botnet.
Rimozione del malware (Windows)

Per eliminare possibili infezioni da malware, scansiona il tuo computer con un software antivirus legale. I nostri ricercatori di sicurezza raccomandano di utilizzare Malwarebytes.
▼ Scarica Malwarebytes
Per utilizzare il prodotto completo, è necessario acquistare una licenza per Malwarebytes. Sono disponibili 14 giorni di prova gratuita.

Prima notato in Corea del Sud, il più recente (e probabilmente, più sofisticato) Facebook Virus è stato progettato per infettare i computer con un malware di estrazione di criptovaluta chiamato Digmine. Il malware, tuttavia, è ora considerato un problema mondiale. I criminali informatici diffondono Digmine tramite messaggi privati. Prende di mira solo gli utenti che utilizzano il browser web Google Chrome o le applicazioni desktop Messenger (gli utenti con dispositivi mobili non possono essere infettati). I criminali dirottano gli account degli utenti e inviano un messaggio a tutti i contatti. Il messaggio contiene un file “video_.zip” (ad esempio, “video_5833.zip”). Gli altri utenti sono tipicamente ingannati nel credere che si tratti di un file video compresso, invece è un eseguibile maligno che, una volta aperto, si connette al server Command and Control (C&C) degli sviluppatori e avvia la catena di infezione, scaricando essenzialmente una serie di file (allegati maligni di Google Chrome e miner Digmine). Il programma quindi installa furtivamente le estensioni maligne e fa girare o riavviare Google Chrome (si noti che funziona solo se l’utente mantiene la funzione “Stay Logged In”). Inoltre, lo script configura le impostazioni di esecuzione automatica per Digminer, in modo che venga eseguito automaticamente ad ogni avvio del sistema. L’estensione viene utilizzata per diffondere continuamente il file zip dannoso. Inoltre, Digmine abusa delle risorse di sistema per estrarre la criptovaluta Monero. Tutte queste azioni vengono eseguite senza il consenso degli utenti. Inoltre, il mining consuma molte risorse di sistema, riducendo i tempi di risposta al punto che il sistema diventa impossibile da usare, mentre altre applicazioni si bloccano o non si caricano nemmeno. Se il tuo computer è stato infettato da questo malware, resetta immediatamente il browser Google Chrome (le estensioni maligne tipicamente impediscono agli utenti di rimuovere i plug-in installati e, quindi, il reset è l’opzione migliore) e scansiona il tuo sistema con una suite antivirus legittima. Ti consigliamo anche di leggere l’articolo, virus di criptovaluta-mining.

Come hanno fatto i virus di Facebook a infiltrarsi nel mio computer?

Come detto sopra, i virus di Facebook sono spesso distribuiti tramite messaggi privati o post ingannevoli su Facebook. Entrambi contengono tipicamente link a siti web o script dannosi (memorizzati su vari server). Molti utenti cliccano sui link, soprattutto quando sono inviati o postati da amici intimi. Cliccare sui link promossi dai virus di Facebook espone i sistemi al rischio di varie infezioni e compromette la privacy degli utenti.

Come evitare l’installazione di malware?

Per evitare questa situazione, sii molto cauto quando apri le pagine promosse su Facebook. Se un amico invia un messaggio privato o pubblica un link sospetto sulla tua bacheca di Facebook, ti consigliamo vivamente di chiedere conferma se il link è legittimo. Invia un messaggio al tuo amico per assicurarti di visitare solo siti legittimi – se l’amico non risponde, non cliccare mai su nessun link promosso. Nota che questi messaggi tipicamente includono un testo personale o immagini (ad esempio, la tua foto del profilo). Per esempio, potrebbe dire “Ehi *nome utente*, sei davvero tu?” insieme a un link che porta a un sito web sconosciuto. I criminali includono questo tipo di testo per far sembrare legittimi i messaggi di spam. Si consiglia inoltre di utilizzare i suggerimenti per la sicurezza dell’account forniti dal supporto di Facebook. Tieni aggiornate le applicazioni installate e usa una suite anti-virus/anti-spyware legittima. La chiave per la sicurezza del computer è la cautela. Se credi che il tuo computer sia già infetto, ti consigliamo di eseguire una scansione con Malwarebytes per Windows per eliminare automaticamente il malware infiltrato.

Elenco di esempi di altri virus di Facebook:

“Complimenti! Il tuo profilo è stato selezionato da Facebook” Scam;
“La tua pagina sarà non pubblicata” Virus;
Facebook “Following Me” Scam;
Facebook “hahaha” Virus;
Facebook Automatic Wall Post Virus;
Facebook Change Color Virus;
Facebook Child Porn Virus;
Facebook French Tech Support Scam;
Facebook Friend Request Virus ;
Facebook Message Virus;
Facebook Money Scam;
Facebook Stalker Virus;
Facebook Suspension Virus;
Facebook Video Virus;
Faceliker Virus;
Invitation Facebook Virus;
Jayden K. Smith Scam;

Screenshot di post ingannevoli che promuovono vari virus o truffe di Facebook:

Screenshot di un sito web dannoso che è mascherato da una vera pagina di login di Facebook. Dopo aver cliccato su vari link, gli utenti vengono reindirizzati a pagine simili che chiedono di “confermare l’identità” effettuando il login. I siti web di questo tipo salvano il login/la password inseriti in un database e i cyber criminali ottengono immediatamente l’accesso all’account della vittima. I siti web maligni possono essere distinti in due modi principali: 1) il loro design potrebbe essere leggermente diverso da quello genuino, e; 2) l’indirizzo URL (dominio) è una stringa casuale (tipicamente lunga), non il genuino facebook.com (vedi l’esempio qui sotto):

Testo presentato all’interno di questo sito web:

Facebook Account Confirmation

Caro utente,
Il tuo account Facebook deve essere confermato oggi per evitare la disabilitazione! Questo processo è veloce e deve essere fatto da tutti i nostri utenti come misura di sicurezza extra. Se non confermi il tuo account oggi sarà limitato e quindi disabilitato!

Screenshot della seconda pagina dello stesso sito:

Sommario della minaccia:
Nome m.facebook.com-vm-auwlyduxgo.brahimsfoodcom
Threat Type Fake Facebook login website, phishing site.
Nomi dei rilevamenti G-Data (Phishing), Sophos AV (Malicious), Elenco completo dei rilevamenti (VirusTotal)
Indirizzo IP servente 101.99.66.162
Domini fratelli mail.brahimsfoodcom, server.brahimsfoodcom, webdisk.brahimsfoodcom, webmail.brahimsfoodcom
Sintomi Vedere pubblicità che non provengono dai siti che stai navigando. Annunci pop-up intrusivi. Diminuzione della velocità di navigazione in Internet.
Metodi di distribuzione Annunci pop-up ingannevoli, applicazioni potenzialmente indesiderate (adware)
Danni Diminuzione delle prestazioni del computer, monitoraggio del browser – problemi di privacy, possibili ulteriori infezioni da malware.
Rimozione malware (Windows)

Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza raccomandano di utilizzare Malwarebytes.
▼ Scarica Malwarebytes
Per utilizzare il prodotto completo, è necessario acquistare una licenza per Malwarebytes. 14 giorni di prova gratuita disponibili.

Esempio di una e-mail di spam a tema Facebook che promuove un sito discutibile (a1bum_fac3book.es-esicu):

Testo presentato all’interno:

Soggetto: Facebook – A sua conta foi temporariamente bloqueada por razões de segurança

Facebook
Caro utente,

Alguém noticiou recentemente uma foto no seu álbum do Facebook.

Os dados de imagem comunicados: IMG_20170103_162800.jpg – Data: 21/06/2020 às 15:50

Una immagine del suo album è stata accusata di contenere materiale inadeguato. Se non sei d’accordo che il contenuto è inadeguato o pornografico, accedi al link e rimuovi la bandeira de violação ou de objecção.

Accedendo al link, puoi accedere all’utente che ha denunciato il tuo album.

Faça login no link abaixo para remover o sinalizador de violação imediatamente.

VER IMAGEM RELATADA
INFORMAÇÕES DO RECLAMANTE

Facebook, Inc. ATTN: Privacy Operations 1601 Willow Road Menlo Park, CA 94025

Rimozione automatica immediata del malware:La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Malwarebytes è uno strumento professionale di rimozione automatica del malware che è raccomandato per sbarazzarsi del malware. Scaricalo cliccando il pulsante qui sotto:
▼ DOWNLOAD MalwarebytesScaricando qualsiasi software elencato su questo sito web accetti la nostra politica sulla privacy e le condizioni d’uso. Per utilizzare il prodotto completo, è necessario acquistare una licenza per Malwarebytes. Sono disponibili 14 giorni di prova gratuita.

Menu veloce:

  • Cos’è Facebook?
  • Passo 1. Rimozione manuale del malware Facebook.
  • PASSO 2. Controllare se il computer è pulito.

Come rimuovere il malware manualmente?

La rimozione manuale del malware è un compito complicato, di solito è meglio lasciare che i programmi antivirus o anti-malware lo facciano automaticamente. Per rimuovere questo malware si consiglia di utilizzare Malwarebytes per Windows. Se si desidera rimuovere manualmente il malware, il primo passo è quello di identificare il nome del malware che si sta cercando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer dell’utente:

Se hai controllato l’elenco dei programmi in esecuzione sul tuo computer, per esempio utilizzando il task manager e hai identificato un programma che sembra sospetto dovresti continuare con questi passaggi:

Scarica un programma chiamato Autoruns. Questo programma mostra le applicazioni ad avvio automatico, il registro e le posizioni del file system:

Riavvia il tuo computer in modalità provvisoria:

Utenti Windows XP e Windows 7: Avviare il computer in modalità provvisoria. Clicca su Start, clicca su Spegni, clicca su Riavvia, clicca su OK. Durante il processo di avvio del computer, premi il tasto F8 sulla tastiera più volte fino a quando non vedi il menu delle opzioni avanzate di Windows, e poi seleziona Safe Mode with Networking dalla lista.

Video che mostra come avviare Windows 7 in “Safe Mode with Networking”:

Utenti Windows 8: Avviare Windows 8 in modalità provvisoria con Networking – Vai alla schermata iniziale di Windows 8, digita Advanced, nei risultati della ricerca seleziona Settings. Fare clic su Opzioni di avvio avanzate, nella finestra aperta “Impostazioni generali del PC”, selezionare Avvio avanzato. Clicca sul pulsante “Riavvia ora”. Il tuo computer si riavvierà ora nel “menu Opzioni di avvio avanzate”. Fai clic sul pulsante “Risoluzione dei problemi” e poi fai clic sul pulsante “Opzioni avanzate”. Nella schermata delle opzioni avanzate, clicca su “Impostazioni di avvio”. Fai clic sul pulsante “Riavvia”. Il PC si riavvierà nella schermata delle impostazioni di avvio. Premi F5 per avviare in modalità provvisoria con rete.

Video che mostra come avviare Windows 8 in “Safe Mode with Networking”:

Utenti Windows 10: Clicca sul logo di Windows e seleziona l’icona Power. Nel menu aperto clicca su “Riavvia” tenendo premuto il tasto “Shift” sulla tastiera. Nella finestra “scegli un’opzione” clicca su “Risoluzione dei problemi”, poi seleziona “Opzioni avanzate”. Nel menu delle opzioni avanzate seleziona “Impostazioni di avvio” e clicca sul pulsante “Riavvia”. Nella finestra seguente dovresti cliccare il tasto “F5” sulla tua tastiera. Questo riavvierà il sistema operativo in modalità provvisoria con rete.

Video che mostra come avviare Windows 10 in “Modalità provvisoria con rete”:

Estrarre l’archivio scaricato ed eseguire il file Autoruns.exe.

Nell’applicazione Autoruns clicca su “Opzioni” in alto e deseleziona le opzioni “Nascondi posizioni vuote” e “Nascondi voci di Windows”. Dopo questa procedura clicca sull’icona “Aggiorna”.

Controlla la lista fornita dall’applicazione Autoruns e individua il file malware che vuoi eliminare.

Devi scriverne il percorso completo e il nome. Si noti che alcuni malware nascondono i loro nomi di processo sotto nomi di processi legittimi di Windows. In questa fase è molto importante evitare di rimuovere i file di sistema. Dopo aver individuato il programma sospetto che vuoi rimuovere, clicca con il tasto destro del mouse sul suo nome e scegli “Elimina”

Dopo aver rimosso il malware attraverso l’applicazione Autoruns (questo assicura che il malware non venga eseguito automaticamente al prossimo avvio del sistema) dovresti cercare il nome del malware sul tuo computer. Assicuratevi di abilitare i file e le cartelle nascoste prima di procedere. Se trovi il file del malware assicurati di rimuoverlo.

Riavvia il computer in modalità normale. Seguire questi passaggi dovrebbe aiutare a rimuovere qualsiasi malware dal computer. Nota che la rimozione manuale delle minacce richiede competenze informatiche avanzate, si raccomanda di lasciare la rimozione del malware ai programmi antivirus e anti-malware. Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre è meglio evitare di essere infettati che cercare di rimuovere il malware dopo. Per mantenere il tuo computer al sicuro assicurati di installare gli ultimi aggiornamenti del sistema operativo e di utilizzare un software antivirus.

Per essere sicuri che il tuo computer sia privo di infezioni da malware ti consigliamo di scansionarlo con Malwarebytes per Windows.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.