IKKE TRYKK: Et nytt sprer seg via Facebook Messenger, kamuflert som svg-filer. Foto: Pål Joakim Pollen
IKKE TRYKK: Et nytt sprer seg via Facebook Messenger, kamuflert som svg-filer. Foto: Pål Joakim PollenVis mer

Facebook-virus spres med SVG-filer

Ikke åpne den, og installér i hvert fall ikke Chrome-utvidelsen

Nytt virus sprer seg via Facebook-chatten.

En skal ha tunga rett i munnen når man ferdes på internett, der et feilklikk eller to kan få dramatiske konsekvenser.

Nå ser det ut til at et nytt virus sprer seg på Facebook; også blant norske brukere. Det starter uskyldig med at en av dine kontakter sender deg en .svg-fil. I dette tilfellet heter den photo_xxxx.svg, der xxxx alle er sifre.

(Her bør for øvrig varsellampe nummer én lyse – i slike situasjoner er det alltid lurt å spørre avsenderen om hva denne fila er for noe og om hun mente å sende den.)

Tilsynelatende et bilde, med andre ord. SVG står for «scalable vector graphics» og er med andre ord ei vektorfil som lar seg åpne i de fleste nettlesere nå til dags.

(Vektorgrafikk skiller seg for øvrig fra tradisjonelle .jpg-bilder ved at kanter fortsatt fremstår like skarpe uansett hvor stort man blåser dem opp i størrelse, siden det er selve formene som er definert i fila.)

Inneholder javascript

Åpner du SVG-fila i en nettleser, viser det seg imidlertid at det ikke er en bildefil, men javascript kamuflert i en bildefil.

Dette er innholdet i svg-fila vi fikk tilsendt. Skjermdump: Pål Joakim Pollen Vis mer

Selve skriptet er ikke så farlig i seg selv, i hvert fall hvis vi skal tro denne analysen hos Stack Exchange – alt det gjør er å rute nettleseren din videre til en annen nettadresse som tilsynelatende er en YouTube-side.

Den oppmerksomme vil imidlertid se at URL-feltet ikke stemmer overens YouTube (varsellampe nummer to!), og typisk for slike svindlerier får du opp en boks som ber deg om å installere en nettleserutvidelse for å se filmen (varsellampe nummer tre).

FARESIGNAL: Sjekk alltid adressefeltet når du er usikker på om en lenke er ålreit. I dette tilfellet avslører du raskt at dette ikke er YouTube. Skjermdump: Pål Joakim Pollen Vis mer

Hold deg unna utvidelsen

Har du selv vært offer for dette og kommet hit (men ikke lenger), ser det ikke ut til å være noe fare på ferde, men det er nok lurt å advare avsenderen om at hun nok har gått litt for langt.

For det er nemlig nettleserutvidelsen du bes å installere* som inneholder uhumsk kode, og som sannsynligvis er ansvarlig for at dette sprer seg videre.

Installerer du den, kan den overvåke nettbruken din og laste ned andre skumle filer igjen. Vi lastet opp «vår» svg-fil til Virustotal, som kan skanne ei fil med en rekke antivirusprogrammer, og der er det flere som rapporterer om at dette er en instans av Nemucod, som Microsoft klassifiserer som «severe»; altså alvorlig.

Microsoft klassifiserer Nemucod som en alvorlig sikkerhetstrussel. Faksimile: Microsoft Vis mer

Blant annet kan det være grunn til å tro at du ved å installere nettleserutvidelsen i neste omgang kan få ransomware på PC-en, som kanskje er noe av det verste å oppleve, der alle brukerfiler på maskinen krypteres og der man må betale for å få dem låst opp igjen. I utgangspunktet finnes det ingen remedier.

Med andre ord: Ikke klikk på lenker du ikke vet hva er, advar de som har sendt deg en slik melding og gjerne resten av vennegjengen også.

Hva om du installerte utvidelsen?

Ai, du gikk på, ja? Her er det vi ville ha gjort:

  • Avinstaller utvidelsen ved å skrive chrome://extensions i adressefeltet og se igjennom listen, for så å trykke på søppelkasseikonet. I dette tilfellet heter den One, men det kan fort være at det dukker opp andre varianter med andre navn.
  • For å være på den sikre siden, anbefaler vi deg også å logge ut alle andre eksisterende økter fra nettjenestene du bruker. Dette skrev vi om forleden dag bak lenka du nettopp passerte.
  • Det er kanskje ikke så dumt å sjekke Facebook ekstra nøye, siden det var her det startet. Vi har ikke installert utvidelsen selv, men ved siden av å logge ut alle økter; sjekk også hvilke apper som har tilgang til kontoen din ved å gå til kontinnstillinger, apper.
  • Bytt passord til sentrale tjenester som Facebook og Google (gjerne alle); i hvert fall om du har dem lagret i nettleseren.
  • Skann maskinen med en oppdatert antivirusløsning. Har du ingen, kom både Avira, Bitdefender, Kaspersky, Norton og Trend Micro best ut av det da det tyske instituttet AV-test utførte sin analyse tidligere i år.

* Det skal sies at Google har fjernet utvidelsen i Chrome web store (så vidt vi kan se denne gangen er det Chrome som er utsatt) og at trusselen nå ser ut til å være borte enn så lenge, men det tar sikkert ikke lang tid før bakmennene har laget en ny lignende variant.

LES OGSÅ:
Med denne boksen kan de voksne pause internett
Fått ransomware? Da kan denne nettsiden være til hjelp
13 passordsynder du bør unngå

[via Datahjelperne]