<a href="http://www.flickr.com/photos/23905174@N00/1594411528/">"Credit card theft"</a> av <a href="http://www.flickr.com/photos/23905174@N00/">d70focus</a> - <a href="http://creativecommons.org/licenses/by/2.0/deed.en">Creative commons</a>
"Credit card theft" av d70focus - Creative commonsVis mer

Pass deg for Koobface

Norske brukere rammet av Facebook-virus.

Sosiale nettjenester har blitt en arena for virusspredning, og det er ikke rart - det er nemlig langt mer sannsynlig at du klikker på lenker som sendes til deg på troverdig måte fra en av dine venner enn som dukker opp i e-postkassen din fra Susan81.

I fjor meddelte vi at mange norske Facebook-passord hadde blitt sjålet, og nå er det en ny runde; denne gangen med viruset Koobface, som blir Facebook hvis du splitter det på midten og bytter halvdelene for deretter å bytte plass på k og b.

Hos brukere som har blitt infiserte av viruset, poster viruset automatisk en lenke på profilen som ser omtrent slik ut (teksten finnes i forskjellige utgaver):

Pass deg for Koobface


Og ikke bare det - viruset sender også ut meldinger til brukerens Facebook-kontakter:

Pass deg for Koobface


Klikker du på lenka kommer du til en side som ligner på en Facebook-side (sjekk URL-en!) der du tilsynelatende skal få se en video, men der du angivelig mangler et Flash-plugin som du må laste ned først. Velger du å laste ned dette pluginet er du fanget, for det du laster ned er nemlig noe helt annet, og plutselig er også du infisert med Koobface.

Viruset kan være ganske skummelt - for det første sprer det seg videre til dine Facebook-kontakter, og det gjør at du blir tatt til skumle sider når du søker etter informasjon på Google, Yahoo!, Bing etc. I tillegg logges det du foretar deg på maskinen, i håp om at skaperne skal snappe opp kredittkortinformasjon og annen sensitiv data.

Artikkelen fortsetter under annonsen

Har du blitt infisert?

Viruset kan fjernes med Windows Defender, AVG og andre virusprogrammer, og det er i følge nettstedet Dedicated 2 spyware mulig å fjerne viruset manuelt. Dette gjør du på følgende måte:

  1. Åpne oppgavebehandlingen (ctrl+shift+esc) og drep prosessene fbtre6.exe, mstre6.exe, ld08.exe og Ld12.exe.
  2. Åpne registeret (start=>run=>regedit) og fjern følgende innslag:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\"systray" = "c:\windows\mstre6.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\"systray" = "C:\Windows\fbtre6.exe"
    HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating
  3. Slett filene fbtre6.exe, fmark2.dat, ld08.exe og Ld12.exe (bruk søket for å finne dem)
  4. Til slutt er det nok ikke dumt å bytte Facebook-passord. Personlig anbefaler jeg deg å bruke en passord-håndterer som Lastpass.

Har du blitt infisert? Del gjerne dine erfaringer i debatten under artikkelen.