Proponha uma correção, faça uma sugestão
ALERTA: Vírus “lol” anda pelo chat do Facebook
As redes sociais são actualmente um dos principais alvos dos piratas informáticos. Neste tipo de plataformas, visitadas diariamente por milhões de utilizadores à escala mundial, tem vindo a ser comum a prática de ataques informáticos a vários níveis e com os mais diversos objectivos
Desta vez, o alerta vai para um vírus que chega através do chat “camuflado” com a mensagem “lol”.
Se é utilizador do Facebook e estranhamente recebeu uma mensagem de um amigo no Facebook com a mensagem “lol” “Photo_xxx.zip ou "IMG_xxxx.zip", não tente sequer abrir pois este é um vírus.
Este vírus tem a capacidade de infectar o seu sistema, assim como "sequestrar" a sua conta de Facebook. Além disso, depois de infectado, o vírus"lol" passa a ser propagado pelos nossos contacto.
Dentro da “suposta” foto vem um ficheiro em java, que nos leva a fazer download de malware , a partir do Dropbox. O Malware ainda não foi propriamente identificado, mas ao que consta há já várias variantes.
Para se protegerem deste tipo de vírus, uma vez que ainda não há qualquer solução, basta que estejam atentos às mensagens que recebem. Caso já tenham executado este ficheiro, alterem de imediato a password de acesso ao Facebook e realizem rapidamente um scan ao vosso sistema.
Já alguém recebeu este vírus no chat? Chegaram a executar o ficheiro .jar?
Este artigo tem mais de um ano
Loading ...
Eu recebi e achei logo suspeito porque não costumo falar com a pessoa que me mandou. Felizmente reparei que era um ficheiro jar e não abri.
Reparas-te que era jar? hum… então abriste o zip? 😛
Qual é o problema de abrir o zip?
O vírus podia ser o próprio ficheiro .zip
Nunca fiando, não se abrem ficheiros suspeitos.
Simplesmente: não, não podia ser o ficheiro zip.
@nelson http://en.wikipedia.org/wiki/Zip_bomb
O ficheiro .zip pode ter virus, sendo que ao abrir (caso nao tivesse o formato interno do zip) ele ia dar erro mas ao executar ele podia abrir processos em background …
ahah nem sequer disse mais nada este nelson
@TeaJL
Isso era antigamente, em que só havia o PKUNZIP, ou quando 90% das pessoas tinham o WinZip versão X…
Hoje em dia, cada um tem um programa diferente, uma versão diferente, é impossível fazer um ficheiro Zip malicioso para atacar um elevado número de potenciais clientes…
Dito isto, até conseguires um crash, nos dias de hoje, que te permita execução de código arbitrário… é irrealista num sistema atual…
Bem visto Tiago ahah 😀 Eu apenas vi o lol e .zip e pensei… te logooo!!!!!!!
Gosto mais da parte do ficheiro word, que é zip que tem uma imagem que é JAR XD
Que confusao.
Eu só abri o .zip, não executei o .jar porque lembrei-me logo duma notícia sobre esse vírus. Só abrir o .zip compromete alguma coisa?
para mim apareceu a dizer haha
Pois bem ja estou a par desse lindo virus tinha aqui quando cheguei a casa umas 14 mensagens no skype e todas a dizer “lol” ate eu disse para os meus botoes lol…. mas que é isto… virus so podia…. vamos la a ver qtas pessoas isto nao afecta. o antivirus nem disse nada e ja saquei mas nao executei, será que algum detecta o virus? o meu é o NOD32.
Abraço
e obgdo plo alerta
É normal que não detecte como virus. Por tras desse jar, está um download apartir do dropbox, e isso sim, deve contaminar o teu computador. Acredito que talvez ai, o anti-virus já se manifeste
O IOBIT Malware Fighter detectou e não deixou abrir
Já recebi o ficheiro, abri, descompilei o jar, desobfusquei o código (parabens ao génio que se lembrou de encriptar tudo em funçoes com letras à sorte e usar o stringBuilder() para gerar strings apartir de inocentes arrays de inteiros) e já tenho o codigo do virus 😀
Basicamente ele saca vários ficheiros binários pelo dropbox, junta-os todos nos ficheiros temporários e depois usa o comando “regsvr32 /s C:\\temp\\MDDXGNDX.UUY” para o registar nos dll’s do windows
Nesse momento, o vosso pc está minado 😀
Boa investigação. Com uns print screens, dava um artigo muito bom, elucidativo e didático aqui no Pplware.
Pedro Pinto e André Viana, vai o desafio? 😉
estou a estranhar ser um jar só para windows….
Qual terá sido a ideia, por uma extensão estranha para os utilizadores menos atentos não notarem?
De certeza que o gajo não vê a plataforma e ataca de forma diferente?
Ainda sou do tempo em que se fazia este tipo de ataque com o netcat….
Eu desta vez nao estava atento, porque tambem a pessoa que me enviou o ficheiro era de confiança, e deixei-me levar. Contudo eu fiz download do ficheiro e abri o zip, reparei que era um ficheiro java, mas com uma particularidade, nao era um jar normal, vinha em letras maiúsculas (JAR)e por isso o meu pc nao associou logo a um programa eu abri com o netbeans e reparei que nao tinha nada lá dentro…. Nao consegui aceder ao codigo. Por isso agora pergunto andre, como é que conseguiste aceder ao codigo. Mera curiosidade.
http://jd.benow.ca/
Java Decompiler. Tens várias versoes incluindo plug-ins para netbeans e eclipse, eu usei a versao standalone “JD-GUI”
Have fun 😉
Boas André Viana achas que me consegues enviar o vírus para eu ver o código fonte do bicho?
Envio-te o codigo original e o código já desartilhado, é só executar e ele fas print dos comandos 😉
Para onde envio?
Envia para este email André Viana
xp-game@hotmail.com
Caro André Viana,
Será que já agora me fazias o favor de enviar isso também? Ou faz upload e deixa ia para a malta ir espreitando o animal…
Se poder agradeço: ccdvrv@gmail.com
Grato,
Não tenho conta Facebook, mas se tivesse clicava de boa vontade nesse ficheiro seguido de LOL.
Se todos os utilizadores do Facebook clicassem no LOL, o mundo estaria bem melhor. lol
LOL! 🙂 Eu tambem clickaria de boa vontade no LOL! E’ imperioso mostrar ‘as pessoas que o devem fazer com um sorriso no rosto.
Já o recebi imensas vezes (cada vez mais, diariamente) e parece que é outra epidemia informática da treta durante os próximos tempos. Gente sem nada que fazer da vida, estes putos que se dedicam a criar apps malignas cujo único objectivo é autoreplicarem-se.
Não fale isso jovem….a ideia não é apenas se replicar, vai por mim que não é 😉
Para isso ja temos o governo :X
lol … recebi eu ontem o “lol” numa mensagem dum familiar, no Facebook Chat Android. Como a mensagem vinha “lol” e um ficheiro zip vi logo do que se tratava e não abri, não pensei é que se propagasse com tanta facilidade como para que se tornasse notícia.
Carlos, esse ficheiro afecta so Windows (o meu familiär não tem smartphone) ou também outros SO / plataformas móveis?
Desculpa, Pedro 🙂
então se este virus regista dll’s do windows quer dizer que quem tem mac está a salvo certo?
Se não tiveres nenhum emulador de aplicaçoes windows tipo WINE ou WINE for Mac, nao deve haver problema
Mas pelo sim pelo nao, evita abrir .jars desconhecidos.
#if defined(WIN32)
//virus for windows
#elseif defined(__APPLE__)
//virus for mac
#else
//virus for Linux
Imagina o .jar tem embutido um GCC para os 3 sistemas. e compila o código automaticamente.
normalmente não encontra-se vírus ou trojans ou algo parecido para os 3 sistemas. NORMALMENTE.
quem só abriu a pasta zip e não abriu o ficheiro jar não tem problemas, certo?
certo
existe a hipótese (não neste caso) de ao descomprimires um ficheiro zip o resultado seja um ficheiro muito grande que pode não caber no disco disponível e dar-te problemas mesmo que não executes (abras) algum ficheiro.
Mas se não descomprimires nem executares ficheiros a situação é segura.
Recebi ontem esse virus, mas nao executei-o 🙂
O virus também se pode transmitir po smartphone?
Ainda bem que tenho anti-vírus, chama-se MAC 🙂
Sendo um ficheiro Jar, há a probabilidade de poder afectar qualquer plataforma que suporte java.
Estavas melhor calado. É um .jar
Se não tiver o Java instalado, infecta na mesma? Pois…
Mas depois não tens cérebro, e dá nisto…
Fala o gajo que diz que abrir um ficheiro zip pode infectar o computador…
Nelson, extensão é diferente do binário do ficheiro.
queres ver? (isto no mac, SIM TENHO UM MAC)
nsaminefield:exemplo int3$ ls
virus
nsaminefield:exemplo int3$ mv virus virus.zip
nsaminefield:exemplo int3$ ls
virus.zip
nsaminefield:exemplo int3$ file virus.zip
virus.zip: Mach-O 64-bit executable x86_64
nsaminefield:exemplo int3$ mv virus.zip virus.jpg
nsaminefield:exemplo int3$ ls
virus.jpg
nsaminefield:exemplo int3$ file virus.jpg
virus.jpg: Mach-O 64-bit executable x86_64
nsaminefield:exemplo int3$ ./virus.jpg
Virus
nsaminefield:exemplo int3$ cat ../virus.c
#include
int main(void) { printf(“Virus\n”); return 0;}
nsaminefield:exemplo int3$
entendes?
o comando “file” também é valido para a maior parte de distros linux.
Pá, isso não é um ficheiro zip
É um executável com .zip no fim. Não faz dele um ficheiro zip.
No Mac/Linux não, mas no Windows, os executáveis têm de terminar em .EXE
em sistemas unix a extensão só serve para se identificar melhor.
Mas sim, no windows é que é mesmo preciso terminar em .exe . sabes o SFX do winrar? é um self-extract ou algo parecido. eu consigo fazer disso um “virus”. e pode parecer um ficheiro “winrar”. porque a maior parte das pessoas tem no windows o visto nas propriedades de pastas:”Ocultar extensões de ficheiros”. Eu tenho sempre os ficheiros a ver-se a extensão.
vê isto : http://en.wikipedia.org/wiki/Self-extracting_archive
outra cena só por curiosidade: os executaveis que o Darwin consegue executar é o Mac-O. http://en.wikipedia.org/wiki/Comparison_of_operating_system_kernels#Binary_format_support
e o windows é o PE, e o linux tem varios formatos de ficheiros (nao é extensões) que pode executar, mas normalmente é o ELF.
Lá está, int3 – SFX são executáveis EXE normais 😛
Isso de mudar o ícone é para apanhar tótós lol.
Abrir um ficheiro com extensão zip não causa problema algum, a não ser, improvavelmente, se o software que lê o zip tiver mais que 15 anos. Abrir, sem problems, mas não descomprimir.
NO entanto alguns ficheiros zip auto descomprimem-se (mas não têm a extensão zip).
Descomprimir também não deve dar problemas se bem que alguns engraçados podem ter comprimido ficheiros muito grandes que te entulham o disco até ao ponto de o teu sistema ficar inoperacional (comprimidos são pequenos, mas depois de descomprimidos ficam gigantescos).
Este tipo de ataque não se reproduz (não é um virus) portanto é raro, é um ataque pessoa a pessoa. Alguém que não goste de ti, manda-te uma bomba zip.
Agradecia que moderasses o teu discurso que aqui ninguém te tratou mal…
É engraçado como a maçã é venenosa para tanta gente…
Eu acho piada a esta gente. Acham que por ter MAC são imunes a tudo, um dia quando menos esperarem lá se vai a maçãzita..
A maçãzita já está roída, nunca reparaste? Mas de certeza que não foi por nenhum ‘lol’ do Facebook 😉
Não pá… Mac nunca apanha vírus…
isto não é um virus, nos portugueses e a Media é gostamos de chamar isso, é um Torjan http://en.wikipedia.org/wiki/Trojan_horse_(computing)
E sim qualquer sistema que um humano possa correr, é vulnerável, ate MACs LOL
É só pensar, quem te diz que um ficheiro “safari.app” é mesmo o safari? não poderá ser um executável que corre algo em memoria e depois abre o Safari para disfarçar? hmmmmm
Agora Vírus, os Macs e Linux tem muito boas proteções, não permite facilmente o self-replication
O trojan é um programa que se faz passar por outro. ou, normalmente por exemplo tem um objetivo: Keygen (gerar keys) e depois disso tem o código malicioso por exemplo: keylogger. Keygen+Keylogger. Mas a pessoa saca o ficheiro e pensa que é keylogger e é, so que faz mais outra coisa. Neste caso não é um trojan.
É um trojan, ele tem razão.
TECNICAMENTE:
Um dropper, ele passa as barreiras do sistema, e é inofensivo até fazer download do verdadeiro vírus ou trojan.
Do outro dia por brincadarem num Linux com wine, corri um Trojan que sei o que faz e infectou o WINE LOL
E pior ainda o CLAMAV nem o vi-a
Agora um bom artigo era apos a contaminhação quais os passos a fazer para terminar com esse virus. 😀
Que já muitos me perguntaram e pronto um scan de virus e outro scan de malware com o super anti malware e acho que limpa por completo. Mas para ter mais abrangencia
http://www.apple.com/mac 😉
Tens aí os passos 😀
Ai MAC não apanha vírus? LOOOOL Vou ali me rir e já volto.
Eu não recebi, mas um amigo meu (que se dizia entendido na matéria) recebeu o zip, abriu e executou imediatamente. Só depois se apercebeu do erro.
Mandei-lhe logo correr o AV e mudar as pass’s todas que tinha armazenadas.
Até agora ninguém recebeu nenhuma mensagem dele com o suposto virus, por isso não sei se chgou a ser afectado.
o melhor anti-virus é o pc desligado lolol
Pergunta inocente: se eu NÃO tiver o Java instalado em Windows, este ficheiro é na mesma prejudicial?
Não
Não, porque não há nada que o consiga correr.
Regedit pesquisar por lol e apagar simples 🙂
Tenho o chat do facebook sempre desligado, será por isso que ainda (?) não recebi nenhum lol?
lol
Boa tarde, se não tivermos executado o anexo que vinha com o lol…não há problema algum certo? Apenas termos aberto a janela de conversação e mais nada….sem carregar no ficheiro…não acontece nada!
Se deixares estar o ficheiro quietinho no sítio dele não acontece nada porque ele não se consegue “sacar” sozinho nem auto executar-se.
Eu já recebi à umas semanas atrás, apenas fechei logo a janela pois já era óbvio ser um vírus. Não entendo como é que ainda existe tanta gente tão panhoha, sempre com virus no facebook e a identificar os outros e posts de cores e visitas.. irritante.
Nem toda a gente percebe minimamente de informática. E é mais comum veres parolos do que propriamente gente que sabe.
Já mandaram isso pelo chat. Como é um ficheiro jar dá para ver o código.
O que isso faz é criar um ficheiro na pasta temp da drive C: que manda informações do utilizador para uma dropbox remota.
Caso tenham clicado do jar usarem o ccleaner ou algo semelhante para limpar os temporários e resolve a situação.
Por via das dúvidas alterem também a pass do facebook
Isso já disse eu ali em cima, e não, ccleaner nao adianta 😉
visto que parece saber do que está a falar queria lhe colocar uma questão..
este vírus também afecta smartphones com windows?
Cumprimentos
Desde que tenha java instalado, sim
Eu Recebi o mesmo virus mas em vez de ter o nomo Photo e IMG era
Modelxxxxx.ZIP, como podem ver na imagem:
https://www.dropbox.com/s/6z0hu07s8rkcswr/Captura%20de%20tela%202014-05-09%2012.45.15.png
Quem usar o browser dentro do Sandboxie está sempre seguro, pode executar á vontade os virus que quiserem que nunca irá afectar o sistema principal 🙂
Ai a que te enganas, existe maneiras de fazer um ficheiro inocente passar por isso..
Já usaste alguma vez o Sandboxie? Ainda mais se usares o shadow defender ao mesmo tempo, ao reiniciar, desaparece todo o malware.
Eu já recebi através de uma russa era para a actulizar o java, deixa-me rir. então bloquei essa russa
Pelo menos a variantes que apareceu num funcionário na Segunda-feira onde trabalho já submeti à microsoft e no mesmo dia já detectava no Security Essencial, Windows Defender, Forefront e no System Center Endpoint.
Aconselho fazerem o mesmo.
Em principio parace que copiar ficheiros para raiz do disco e para o temp da conta que clicou.
Se usarem o Autoruns podem ver logo entradas muito estranhas
http://technet.microsoft.com/pt-pt/sysinternals/bb963902.aspx
Por isso é sempre importante terem uma outra conta Admin para poder limpar a conta que usam no dia a dia
Ja agora um JAR é um zip também, se tiverem curiosidade, podem mudar o jar para zip e extrair tudo que está lá dentro 🙂
Alias o antivirus da Microsft não apaga o ficheiro, mas limpa la dentro tudo excepto o ficheiro de configuração do JAVA: Manifest
Boa tarde, eu transferi isso em máquina virtual no ubuntu.
Sabia perfeitamente que era vírus e depois de transferir como era numa máquina virtual fui explorando todos os ficheiros em notepad para ver o código.
Estranhamente mesmo assim deterei algo estranho na dropbox, será que mesmo assim sem executar o zip no facebook me infetou o sistema? E numa máquina virtual?
Partindo do principio que a máquina é virtual, e funciona com sendo um máquina imaginária mas “real” tem o seu próprio SO, etc… Creio que o vírus não irá para a máquina que está a suportar a virtual. Só se o mesmo estiver programado para tal.
Depende do tipo de ligação da máquina virtual, se está definido para “Bridged”, “Nat” ou “host-only”. Acho que o host-only é o mais seguro para testes de malware em VMs.
Quando não é imagem directa ou um link terminado por .jpg .png .img ou qualquer outra extensão de imagem, é logo de desconfiar… Outra coisa é quando as mensagens são demasiado generalistas. Se a pessoa não disser nada em específico acerca do que enviou nem se dirigir a nós como costuma dirigir normalmente (se é que sequer se dirige ocasionalmente), convém ao menos sempre perguntar à pessoa o que é aquilo. Se a pessoa nem sequer enviou de propósito saberá dizer logo que não o fez e deduz-se que é um virus, mesmo que não se perceba nada de extensões.
Recebi e como é lógico ñ abri, ainda p/ + quem me enviou nem respondeu à minha mensagem!!??
Olá, eu, como ainda não me tinha apercebido deste ‘feliz’ acontecimento, carreguei o ficheiro. Já mudei as passes,mas como não percebo NADA de computadores será posso fazer mais alguma coisa para contornar o problema e como o posso fazer?
o problema não é o ficheiro inicial que é um ZIP, é o que está lá dentro, um ficheiro que termina em JAR. Carregaste no JAR ou so no ZIP?
Não sei, eu carreguei no que me mandaram e depois vi isto e já não abri o download, porém quando fui ver nas transferências ele tava lá e eu apaguei pensado que dava, mas já percebi que não. O antivirus também nao deteta nada e eu tenho medo que isso estrague o pc ou assim
como disse o ficheiro que descarregaste, o zip, não faz nada e é natural que esteja na pasta “Transferências”. O virus ou melhor o Trojan é o que está lá dentro que ate podes descompactar, logo que nãp corras não faz nada.
Se tem mesmo duvidas e sem entrar em muito detalhas, podes criar um novo utilizador no Windows e começas a utilizar esse. Tenho ideia que este virus só ataca o perfil que o correu.
Outra maneira, pelo menos eu sei que um dos variantes deste ataque o anti-virus da Microsoft Security Essencial já o detecta, eu próprio o submit à uma semana atraz e testei a limpeza.
Podes por numa pen e correr na maquina ao arrancar o sistema http://windows.microsoft.com/en-us/windows/what-is-windows-defender-offline
Obrigado 🙂 Eu tenho esse antivirus e assim fico mais descansada. Muito obrigado 🙂
Descarreguei o zip, fiz scan com o Norto Internt Security nada. Abri o zip vi que era .jar, voltei a fazer scan nada.
Já perguntei a varias pessoas na minha lista de amigos ninguém recebeu tal coisa.. acho que é outra treta como de mudar de cor, andaram em algum site em que foi preciso meter gosto ou coisa parecida (há N exemplos para ver videos é preciso dar acesso metendo o “like”), agora é mais uma coisa para chatear a cabeça…
Eu abri o ficheiro rar mesmo n tendo anti-virus e nao me afetou nada 🙂
sem comentários -.-‘
Alguém pode me enviar o “vírus”?
Eu recebi mas como infelizmente tive uma onda de azares o computador e tablet avariaram eu apenas utilizo o telemóvel para aceder e hábito meu dessas coisas não abrir ….safei me desta
Boas, alguém me pode dizer onde sacar o “virus” ou mandar-me 😛
Para os que estão a pensar “ai e tal, mais um espertinho…” nop… sou Dev(Developer) e por vezes Def(tem dias :P) mas estou muito curioso com esta situação.
E já agora para por mais um bocado de lenha na fogueira 😛 os ficheiros ZIP não são auto-executaveis (em condiçõe normais), contudo como é de conhecimento comum, pode ser descoberto falhas no Software que descomprime os ficheiros e dai aproveitar essas falhas para fazer o resto 😉
Obrigado, cumprimentos
Nope, mas se um ficheiro se chamar trabalhos.zip.exe e no pc do utilizador ocultar as extensões automaticamente, podes executar um programa desconhecido a pensar que é um zip 😉
Em condições normais, algo que acaba em ZIP num Windows não corre nada excepto aplicação designada abrir ZIPs.
Mas se num ataque anterior, algo alterou a aplicação que abre os ZIPs e depois ate abre a aplicação correta, nem sabes se realmente já apanhaste alguma coisa. E corre que quiser.
Temos ter sempre cuidado. Não interessa de quem vem.
TNO = trust no one 😉
Uma questao, pode-se apanhar este vírus através de um smartphone Android?
talvez
Por favor ajudem-me. Abri o ficheiro à um mês atras, nao sabia o que era. quando soube que era virus tentem apagar o ficheiro do computador. Fui ao facebook a pouco, e vi que estou a enviar a mensagem para todos os meus contactos! o que faço???
Say goodbye to your PC. 😛
Não sei o que o “vírus” realmente faz. Mas procura pelo PC todo os ficheiros .jar . Elimina toda a cache dos browsers e assim como passwords, e sessões com o CCleaner.
desinstala o java por enquanto.
abre o msconfig (escreve no pesquisador) e no separador Startup procura entradas que no caminho tenha temp, podes desligar à vontade pq isto não desinstala só desliga. Depois reinicia maquina.
Se quiseres aponta os caminhos para os ficheiros e vai a essas pastas e apaga os ficheiros malfeitores
Outra solução e instalares numa pen ou CD um antivirus e arrancar a maquina com ela e limpar: http://windows.microsoft.com/en-us/windows/what-is-windows-defender-offline
Eu abri o ficheiro no android e agora sempre q entro no face o face esta sempre a cair.. alguem pode ajudar-me
Será falta de espaço? Tenta apagar o FB e instale de novo