Sau khi lây nhiễm vào tài khoản Facebook của người dùng, mã độc sẽ gửi một tập tin video giả thường có dạng “video_” cùng 4 số ngẫu nhiên thông qua tin nhắn Messenger đến toàn bộ bạn bè trong danh sách bạn bè của người đó.
Chính vì tâm lý chủ quan nên nhiều người đã tải về, mở xem video này và bị nhiễm mã độc. Theo một số chuyên gia bảo mật, mã độc này được viết bằng ngôn ngữ AutoIT với các hàm chính đã được làm rối để người phân tích khó có thể biết được chức năng của nó.
Tuy nhiên, sau khi phân tích, các chuyên gia bảo mật phát hiện mã độc sẽ gửi thông tin về máy bị lây nhiễm đến địa chỉ hxxp://ojoku.bigih.bid/api/cherry/login.php , sau đó thực hiện tải và cài đặt một extension độc hại vào trình duyệt của người dùng nhằm phát tán tiếp các tập tin mã độc giả dạng video đến bạn bè của người bị lây nhiễm.
Tiếp theo, mã độc ghi file shortcut Chrome để load extension vào các thư mục như desktop, taskbar, program… Cuối cùng nó khởi động lại Chrome để extension thực thi và cài một mã độc khác là “coin minner” để đào tiền ảo bằng cách khai thác nguồn tài nguyên hệ thống của bạn.
Nếu hệ thống chưa bị tấn công, bạn nên chủ động phòng tránh ngay từ đầu, tuyệt đối không tải về và mở những tập tin lạ được gửi đến thông qua Facebook Messenger. Nếu đã tải về tập tin chứa mã độc thì bạn xóa nó đi trong thư mục tải về, thường là Downloads của thư mục tài khoản trên Windows. Còn nếu đã khởi chạy nó, hãy tắt kết nối internet, cập nhật phần mềm chống virus và tiến hành quét toàn bộ hệ thống.
Thành Luân
Không có nhận xét nào:
Đăng nhận xét