<a href="http://www.flickr.com/photos/23905174@N00/1594411528/">"Credit card theft"</a> av <a href="http://www.flickr.com/photos/23905174@N00/">d70focus</a> - <a href="http://creativecommons.org/licenses/by/2.0/deed.en">Creative commons</a>
"Credit card theft" av d70focus - Creative commonsVis mer

Pass deg for Koobface

Norske brukere rammet av Facebook-virus.

Sosiale nettjenester har blitt en arena for virusspredning, og det er ikke rart - det er nemlig langt mer sannsynlig at du klikker på lenker som sendes til deg på troverdig måte fra en av dine venner enn som dukker opp i e-postkassen din fra Susan81.

I fjor meddelte vi at mange norske Facebook-passord hadde blitt sjålet, og nå er det en ny runde; denne gangen med viruset Koobface, som blir Facebook hvis du splitter det på midten og bytter halvdelene for deretter å bytte plass på k og b.

Hos brukere som har blitt infiserte av viruset, poster viruset automatisk en lenke på profilen som ser omtrent slik ut (teksten finnes i forskjellige utgaver):

Vis mer


Og ikke bare det - viruset sender også ut meldinger til brukerens Facebook-kontakter:

Vis mer


Klikker du på lenka kommer du til en side som ligner på en Facebook-side (sjekk URL-en!) der du tilsynelatende skal få se en video, men der du angivelig mangler et Flash-plugin som du må laste ned først. Velger du å laste ned dette pluginet er du fanget, for det du laster ned er nemlig noe helt annet, og plutselig er også du infisert med Koobface.

Viruset kan være ganske skummelt - for det første sprer det seg videre til dine Facebook-kontakter, og det gjør at du blir tatt til skumle sider når du søker etter informasjon på Google, Yahoo!, Bing etc. I tillegg logges det du foretar deg på maskinen, i håp om at skaperne skal snappe opp kredittkortinformasjon og annen sensitiv data.

Har du blitt infisert?

Viruset kan fjernes med Windows Defender, AVG og andre virusprogrammer, og det er i følge nettstedet Dedicated 2 spyware mulig å fjerne viruset manuelt. Dette gjør du på følgende måte:

  1. Åpne oppgavebehandlingen (ctrl+shift+esc) og drep prosessene fbtre6.exe, mstre6.exe, ld08.exe og Ld12.exe.
  2. Åpne registeret (start=>run=>regedit) og fjern følgende innslag:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\"systray" = "c:\windows\mstre6.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\"systray" = "C:\Windows\fbtre6.exe"
    HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating
  3. Slett filene fbtre6.exe, fmark2.dat, ld08.exe og Ld12.exe (bruk søket for å finne dem)
  4. Til slutt er det nok ikke dumt å bytte Facebook-passord. Personlig anbefaler jeg deg å bruke en passord-håndterer som Lastpass.

Har du blitt infisert? Del gjerne dine erfaringer i debatten under artikkelen.