Robak na Facebooku błyskawicznie zaraża użytkowników Windowsa

Coraz więcej kont polskich użytkowników Facebooka zostaje zainfekowanych przez nowego, pomysłowego robaka, który nie tylko oznacza ofiary poprzez powiadomienie o wspomnieniu w komentarzu, ale też wykorzystując błąd w serwisie fałszuje link tego komentarza. Kto kliknie – i korzysta z Windowsa – może liczyć na różne „atrakcje”, włącznie z zaszyfrowaniem jego plików.

Cyberprzestępcom udało się bowiem podmienić standardową formę adresu URL komentarza w Facebooku. Link prowadzi do domeny Dokumentów Google, gdzie przechowywany jest plik zawierający złośliwy kod JavaScriptu z rozszerzeniem .jse. Jego pobranie i kliknięcie powoduje uruchomienie w środowisku Windows Scripting Host normalnego droppera, który bierze się za pobranie kilkunastu obrazków .jpg.

Niestety to nie są obrazki, tylko kolekcja zamaskowanych plików infekujących system i przeglądarkę. Po zainfekowaniu robak natychmiast zaczyna publikować wpisy na tablicy ofiary z linkiem prowadzącym do malware, oznaczać znajomych użytkownika w komentarzach, a także wysyłać znajomym uzłośliwione linki przez czat Facebooka.