Quantcast
PplWare Mobile

ALERTA: Vírus “lol” anda pelo chat do Facebook

PUB

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. Waldo says:

    Eu recebi e achei logo suspeito porque não costumo falar com a pessoa que me mandou. Felizmente reparei que era um ficheiro jar e não abri.

  2. Natana says:

    Pois bem ja estou a par desse lindo virus tinha aqui quando cheguei a casa umas 14 mensagens no skype e todas a dizer “lol” ate eu disse para os meus botoes lol…. mas que é isto… virus so podia…. vamos la a ver qtas pessoas isto nao afecta. o antivirus nem disse nada e ja saquei mas nao executei, será que algum detecta o virus? o meu é o NOD32.
    Abraço
    e obgdo plo alerta

  3. André Viana says:

    Já recebi o ficheiro, abri, descompilei o jar, desobfusquei o código (parabens ao génio que se lembrou de encriptar tudo em funçoes com letras à sorte e usar o stringBuilder() para gerar strings apartir de inocentes arrays de inteiros) e já tenho o codigo do virus 😀
    Basicamente ele saca vários ficheiros binários pelo dropbox, junta-os todos nos ficheiros temporários e depois usa o comando “regsvr32 /s C:\\temp\\MDDXGNDX.UUY” para o registar nos dll’s do windows
    Nesse momento, o vosso pc está minado 😀

    • Ricardo Gaio says:

      Boa investigação. Com uns print screens, dava um artigo muito bom, elucidativo e didático aqui no Pplware.
      Pedro Pinto e André Viana, vai o desafio? 😉

    • Eduardo Oliveira says:

      estou a estranhar ser um jar só para windows….
      Qual terá sido a ideia, por uma extensão estranha para os utilizadores menos atentos não notarem?
      De certeza que o gajo não vê a plataforma e ataca de forma diferente?

      Ainda sou do tempo em que se fazia este tipo de ataque com o netcat….

    • ze says:

      Eu desta vez nao estava atento, porque tambem a pessoa que me enviou o ficheiro era de confiança, e deixei-me levar. Contudo eu fiz download do ficheiro e abri o zip, reparei que era um ficheiro java, mas com uma particularidade, nao era um jar normal, vinha em letras maiúsculas (JAR)e por isso o meu pc nao associou logo a um programa eu abri com o netbeans e reparei que nao tinha nada lá dentro…. Nao consegui aceder ao codigo. Por isso agora pergunto andre, como é que conseguiste aceder ao codigo. Mera curiosidade.

  4. Marcelo Silva says:

    Não tenho conta Facebook, mas se tivesse clicava de boa vontade nesse ficheiro seguido de LOL.
    Se todos os utilizadores do Facebook clicassem no LOL, o mundo estaria bem melhor. lol

  5. André Caeiro says:

    Já o recebi imensas vezes (cada vez mais, diariamente) e parece que é outra epidemia informática da treta durante os próximos tempos. Gente sem nada que fazer da vida, estes putos que se dedicam a criar apps malignas cujo único objectivo é autoreplicarem-se.

  6. rmcrys says:

    lol … recebi eu ontem o “lol” numa mensagem dum familiar, no Facebook Chat Android. Como a mensagem vinha “lol” e um ficheiro zip vi logo do que se tratava e não abri, não pensei é que se propagasse com tanta facilidade como para que se tornasse notícia.

    Carlos, esse ficheiro afecta so Windows (o meu familiär não tem smartphone) ou também outros SO / plataformas móveis?

  7. Tomás Marques says:

    então se este virus regista dll’s do windows quer dizer que quem tem mac está a salvo certo?

    • André Viana says:

      Se não tiveres nenhum emulador de aplicaçoes windows tipo WINE ou WINE for Mac, nao deve haver problema

      Mas pelo sim pelo nao, evita abrir .jars desconhecidos.

    • int3 says:

      #if defined(WIN32)
      //virus for windows
      #elseif defined(__APPLE__)
      //virus for mac
      #else
      //virus for Linux

      Imagina o .jar tem embutido um GCC para os 3 sistemas. e compila o código automaticamente.
      normalmente não encontra-se vírus ou trojans ou algo parecido para os 3 sistemas. NORMALMENTE.

  8. Zé Silva says:

    quem só abriu a pasta zip e não abriu o ficheiro jar não tem problemas, certo?

    • José Simões says:

      certo

      existe a hipótese (não neste caso) de ao descomprimires um ficheiro zip o resultado seja um ficheiro muito grande que pode não caber no disco disponível e dar-te problemas mesmo que não executes (abras) algum ficheiro.

      Mas se não descomprimires nem executares ficheiros a situação é segura.

  9. André says:

    Recebi ontem esse virus, mas nao executei-o 🙂

  10. Zé Silva says:

    O virus também se pode transmitir po smartphone?

  11. Oupa says:

    Ainda bem que tenho anti-vírus, chama-se MAC 🙂

    • Aybara says:

      Sendo um ficheiro Jar, há a probabilidade de poder afectar qualquer plataforma que suporte java.

    • DM says:

      Estavas melhor calado. É um .jar

    • Só um gajo says:

      Mas depois não tens cérebro, e dá nisto…

      • Nelson says:

        Fala o gajo que diz que abrir um ficheiro zip pode infectar o computador…

        • int3 says:

          Nelson, extensão é diferente do binário do ficheiro.
          queres ver? (isto no mac, SIM TENHO UM MAC)

          nsaminefield:exemplo int3$ ls
          virus
          nsaminefield:exemplo int3$ mv virus virus.zip
          nsaminefield:exemplo int3$ ls
          virus.zip
          nsaminefield:exemplo int3$ file virus.zip
          virus.zip: Mach-O 64-bit executable x86_64
          nsaminefield:exemplo int3$ mv virus.zip virus.jpg
          nsaminefield:exemplo int3$ ls
          virus.jpg
          nsaminefield:exemplo int3$ file virus.jpg
          virus.jpg: Mach-O 64-bit executable x86_64
          nsaminefield:exemplo int3$ ./virus.jpg
          Virus
          nsaminefield:exemplo int3$ cat ../virus.c
          #include
          int main(void) { printf(“Virus\n”); return 0;}
          nsaminefield:exemplo int3$

          entendes?
          o comando “file” também é valido para a maior parte de distros linux.

          • Nelson says:

            Pá, isso não é um ficheiro zip

            É um executável com .zip no fim. Não faz dele um ficheiro zip.

            No Mac/Linux não, mas no Windows, os executáveis têm de terminar em .EXE

          • int3 says:

            em sistemas unix a extensão só serve para se identificar melhor.
            Mas sim, no windows é que é mesmo preciso terminar em .exe . sabes o SFX do winrar? é um self-extract ou algo parecido. eu consigo fazer disso um “virus”. e pode parecer um ficheiro “winrar”. porque a maior parte das pessoas tem no windows o visto nas propriedades de pastas:”Ocultar extensões de ficheiros”. Eu tenho sempre os ficheiros a ver-se a extensão.
            vê isto : http://en.wikipedia.org/wiki/Self-extracting_archive
            outra cena só por curiosidade: os executaveis que o Darwin consegue executar é o Mac-O. http://en.wikipedia.org/wiki/Comparison_of_operating_system_kernels#Binary_format_support
            e o windows é o PE, e o linux tem varios formatos de ficheiros (nao é extensões) que pode executar, mas normalmente é o ELF.

          • Nelson says:

            Lá está, int3 – SFX são executáveis EXE normais 😛

            Isso de mudar o ícone é para apanhar tótós lol.

        • José Simões says:

          Abrir um ficheiro com extensão zip não causa problema algum, a não ser, improvavelmente, se o software que lê o zip tiver mais que 15 anos. Abrir, sem problems, mas não descomprimir.

          NO entanto alguns ficheiros zip auto descomprimem-se (mas não têm a extensão zip).

          Descomprimir também não deve dar problemas se bem que alguns engraçados podem ter comprimido ficheiros muito grandes que te entulham o disco até ao ponto de o teu sistema ficar inoperacional (comprimidos são pequenos, mas depois de descomprimidos ficam gigantescos).

          Este tipo de ataque não se reproduz (não é um virus) portanto é raro, é um ataque pessoa a pessoa. Alguém que não goste de ti, manda-te uma bomba zip.

      • Oupa says:

        Agradecia que moderasses o teu discurso que aqui ninguém te tratou mal…
        É engraçado como a maçã é venenosa para tanta gente…

    • Ah says:

      Eu acho piada a esta gente. Acham que por ter MAC são imunes a tudo, um dia quando menos esperarem lá se vai a maçãzita..

    • Rui Castro says:

      isto não é um virus, nos portugueses e a Media é gostamos de chamar isso, é um Torjan http://en.wikipedia.org/wiki/Trojan_horse_(computing)

      E sim qualquer sistema que um humano possa correr, é vulnerável, ate MACs LOL

      É só pensar, quem te diz que um ficheiro “safari.app” é mesmo o safari? não poderá ser um executável que corre algo em memoria e depois abre o Safari para disfarçar? hmmmmm

      Agora Vírus, os Macs e Linux tem muito boas proteções, não permite facilmente o self-replication

      • int3 says:

        O trojan é um programa que se faz passar por outro. ou, normalmente por exemplo tem um objetivo: Keygen (gerar keys) e depois disso tem o código malicioso por exemplo: keylogger. Keygen+Keylogger. Mas a pessoa saca o ficheiro e pensa que é keylogger e é, so que faz mais outra coisa. Neste caso não é um trojan.

    • Rui Castro says:

      Do outro dia por brincadarem num Linux com wine, corri um Trojan que sei o que faz e infectou o WINE LOL

      E pior ainda o CLAMAV nem o vi-a

  12. João Mourão says:

    Agora um bom artigo era apos a contaminhação quais os passos a fazer para terminar com esse virus. 😀

    Que já muitos me perguntaram e pronto um scan de virus e outro scan de malware com o super anti malware e acho que limpa por completo. Mas para ter mais abrangencia

  13. Black says:

    Eu não recebi, mas um amigo meu (que se dizia entendido na matéria) recebeu o zip, abriu e executou imediatamente. Só depois se apercebeu do erro.
    Mandei-lhe logo correr o AV e mudar as pass’s todas que tinha armazenadas.
    Até agora ninguém recebeu nenhuma mensagem dele com o suposto virus, por isso não sei se chgou a ser afectado.

  14. Aflores says:

    o melhor anti-virus é o pc desligado lolol

  15. rmcrys says:

    Pergunta inocente: se eu NÃO tiver o Java instalado em Windows, este ficheiro é na mesma prejudicial?

  16. Zeca says:

    Regedit pesquisar por lol e apagar simples 🙂

  17. Telmo says:

    Tenho o chat do facebook sempre desligado, será por isso que ainda (?) não recebi nenhum lol?

  18. Cátia says:

    Boa tarde, se não tivermos executado o anexo que vinha com o lol…não há problema algum certo? Apenas termos aberto a janela de conversação e mais nada….sem carregar no ficheiro…não acontece nada!

    • Só um gajo says:

      Se deixares estar o ficheiro quietinho no sítio dele não acontece nada porque ele não se consegue “sacar” sozinho nem auto executar-se.

  19. João Pereira says:

    Eu já recebi à umas semanas atrás, apenas fechei logo a janela pois já era óbvio ser um vírus. Não entendo como é que ainda existe tanta gente tão panhoha, sempre com virus no facebook e a identificar os outros e posts de cores e visitas.. irritante.

  20. LOL says:

    Já mandaram isso pelo chat. Como é um ficheiro jar dá para ver o código.

    O que isso faz é criar um ficheiro na pasta temp da drive C: que manda informações do utilizador para uma dropbox remota.

    Caso tenham clicado do jar usarem o ccleaner ou algo semelhante para limpar os temporários e resolve a situação.
    Por via das dúvidas alterem também a pass do facebook

  21. Cláudio Hilário says:

    Eu Recebi o mesmo virus mas em vez de ter o nomo Photo e IMG era
    Modelxxxxx.ZIP, como podem ver na imagem:

    https://www.dropbox.com/s/6z0hu07s8rkcswr/Captura%20de%20tela%202014-05-09%2012.45.15.png

  22. panhonhas says:

    Quem usar o browser dentro do Sandboxie está sempre seguro, pode executar á vontade os virus que quiserem que nunca irá afectar o sistema principal 🙂

  23. vitor garcia says:

    Eu já recebi através de uma russa era para a actulizar o java, deixa-me rir. então bloquei essa russa

  24. Rui Castro says:

    Pelo menos a variantes que apareceu num funcionário na Segunda-feira onde trabalho já submeti à microsoft e no mesmo dia já detectava no Security Essencial, Windows Defender, Forefront e no System Center Endpoint.

    Aconselho fazerem o mesmo.

    • Rui Castro says:

      Em principio parace que copiar ficheiros para raiz do disco e para o temp da conta que clicou.

      Se usarem o Autoruns podem ver logo entradas muito estranhas
      http://technet.microsoft.com/pt-pt/sysinternals/bb963902.aspx

      Por isso é sempre importante terem uma outra conta Admin para poder limpar a conta que usam no dia a dia

    • Rui Castro says:

      Ja agora um JAR é um zip também, se tiverem curiosidade, podem mudar o jar para zip e extrair tudo que está lá dentro 🙂

      Alias o antivirus da Microsft não apaga o ficheiro, mas limpa la dentro tudo excepto o ficheiro de configuração do JAVA: Manifest

  25. Daniel says:

    Boa tarde, eu transferi isso em máquina virtual no ubuntu.
    Sabia perfeitamente que era vírus e depois de transferir como era numa máquina virtual fui explorando todos os ficheiros em notepad para ver o código.
    Estranhamente mesmo assim deterei algo estranho na dropbox, será que mesmo assim sem executar o zip no facebook me infetou o sistema? E numa máquina virtual?

    • Autor says:

      Partindo do principio que a máquina é virtual, e funciona com sendo um máquina imaginária mas “real” tem o seu próprio SO, etc… Creio que o vírus não irá para a máquina que está a suportar a virtual. Só se o mesmo estiver programado para tal.

    • panhonhas says:

      Depende do tipo de ligação da máquina virtual, se está definido para “Bridged”, “Nat” ou “host-only”. Acho que o host-only é o mais seguro para testes de malware em VMs.

  26. Luna Wolf says:

    Quando não é imagem directa ou um link terminado por .jpg .png .img ou qualquer outra extensão de imagem, é logo de desconfiar… Outra coisa é quando as mensagens são demasiado generalistas. Se a pessoa não disser nada em específico acerca do que enviou nem se dirigir a nós como costuma dirigir normalmente (se é que sequer se dirige ocasionalmente), convém ao menos sempre perguntar à pessoa o que é aquilo. Se a pessoa nem sequer enviou de propósito saberá dizer logo que não o fez e deduz-se que é um virus, mesmo que não se perceba nada de extensões.

  27. Jon Carlos says:

    Recebi e como é lógico ñ abri, ainda p/ + quem me enviou nem respondeu à minha mensagem!!??

  28. Joana says:

    Olá, eu, como ainda não me tinha apercebido deste ‘feliz’ acontecimento, carreguei o ficheiro. Já mudei as passes,mas como não percebo NADA de computadores será posso fazer mais alguma coisa para contornar o problema e como o posso fazer?

    • Rui Castro says:

      o problema não é o ficheiro inicial que é um ZIP, é o que está lá dentro, um ficheiro que termina em JAR. Carregaste no JAR ou so no ZIP?

      • Joana says:

        Não sei, eu carreguei no que me mandaram e depois vi isto e já não abri o download, porém quando fui ver nas transferências ele tava lá e eu apaguei pensado que dava, mas já percebi que não. O antivirus também nao deteta nada e eu tenho medo que isso estrague o pc ou assim

        • Rui Castro says:

          como disse o ficheiro que descarregaste, o zip, não faz nada e é natural que esteja na pasta “Transferências”. O virus ou melhor o Trojan é o que está lá dentro que ate podes descompactar, logo que nãp corras não faz nada.

          Se tem mesmo duvidas e sem entrar em muito detalhas, podes criar um novo utilizador no Windows e começas a utilizar esse. Tenho ideia que este virus só ataca o perfil que o correu.

          Outra maneira, pelo menos eu sei que um dos variantes deste ataque o anti-virus da Microsoft Security Essencial já o detecta, eu próprio o submit à uma semana atraz e testei a limpeza.

          Podes por numa pen e correr na maquina ao arrancar o sistema http://windows.microsoft.com/en-us/windows/what-is-windows-defender-offline

  29. Daniel says:

    Descarreguei o zip, fiz scan com o Norto Internt Security nada. Abri o zip vi que era .jar, voltei a fazer scan nada.

    Já perguntei a varias pessoas na minha lista de amigos ninguém recebeu tal coisa.. acho que é outra treta como de mudar de cor, andaram em algum site em que foi preciso meter gosto ou coisa parecida (há N exemplos para ver videos é preciso dar acesso metendo o “like”), agora é mais uma coisa para chatear a cabeça…

  30. André Costa says:

    Eu abri o ficheiro rar mesmo n tendo anti-virus e nao me afetou nada 🙂

  31. Eu says:

    Alguém pode me enviar o “vírus”?

  32. Lila says:

    Eu recebi mas como infelizmente tive uma onda de azares o computador e tablet avariaram eu apenas utilizo o telemóvel para aceder e hábito meu dessas coisas não abrir ….safei me desta

  33. Paulo says:

    Boas, alguém me pode dizer onde sacar o “virus” ou mandar-me 😛
    Para os que estão a pensar “ai e tal, mais um espertinho…” nop… sou Dev(Developer) e por vezes Def(tem dias :P) mas estou muito curioso com esta situação.

    E já agora para por mais um bocado de lenha na fogueira 😛 os ficheiros ZIP não são auto-executaveis (em condiçõe normais), contudo como é de conhecimento comum, pode ser descoberto falhas no Software que descomprime os ficheiros e dai aproveitar essas falhas para fazer o resto 😉

    Obrigado, cumprimentos

    • André Viana says:

      Nope, mas se um ficheiro se chamar trabalhos.zip.exe e no pc do utilizador ocultar as extensões automaticamente, podes executar um programa desconhecido a pensar que é um zip 😉

    • Rui Castro says:

      Em condições normais, algo que acaba em ZIP num Windows não corre nada excepto aplicação designada abrir ZIPs.

      Mas se num ataque anterior, algo alterou a aplicação que abre os ZIPs e depois ate abre a aplicação correta, nem sabes se realmente já apanhaste alguma coisa. E corre que quiser.

      Temos ter sempre cuidado. Não interessa de quem vem.

      TNO = trust no one 😉

  34. Pringle says:

    Uma questao, pode-se apanhar este vírus através de um smartphone Android?

  35. Eliana says:

    Por favor ajudem-me. Abri o ficheiro à um mês atras, nao sabia o que era. quando soube que era virus tentem apagar o ficheiro do computador. Fui ao facebook a pouco, e vi que estou a enviar a mensagem para todos os meus contactos! o que faço???

    • int3 says:

      Say goodbye to your PC. 😛
      Não sei o que o “vírus” realmente faz. Mas procura pelo PC todo os ficheiros .jar . Elimina toda a cache dos browsers e assim como passwords, e sessões com o CCleaner.
      desinstala o java por enquanto.

  36. Rui Castro says:

    abre o msconfig (escreve no pesquisador) e no separador Startup procura entradas que no caminho tenha temp, podes desligar à vontade pq isto não desinstala só desliga. Depois reinicia maquina.

    Se quiseres aponta os caminhos para os ficheiros e vai a essas pastas e apaga os ficheiros malfeitores

    Outra solução e instalares numa pen ou CD um antivirus e arrancar a maquina com ela e limpar: http://windows.microsoft.com/en-us/windows/what-is-windows-defender-offline

  37. VITOR SOUSA says:

    Eu abri o ficheiro no android e agora sempre q entro no face o face esta sempre a cair.. alguem pode ajudar-me

  38. Rui Castro says:

    Será falta de espaço? Tenta apagar o FB e instale de novo

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.