Phân tích và hướng dẫn loại bỏ mã độc “Vẽ Chibi” trên Facebook – phần 2
Trong bài viết trước, mình đã phân tích một số hàm trong mã độc “Vẽ Chibi” lừa đảo trên Facebook . Hôm nay chúng ta sẽ cùng nhau xem xét kỹ hơn những gì mà mã độc này tác động tới người dùng. Kiểm soát thông qua Console Mình chạy thử mã độc trên Facebook và xem những gì được ...
Trong bài viết trước, mình đã phân tích một số hàm trong mã độc “Vẽ Chibi” lừa đảo trên Facebook. Hôm nay chúng ta sẽ cùng nhau xem xét kỹ hơn những gì mà mã độc này tác động tới người dùng.
Kiểm soát thông qua Console
Mình chạy thử mã độc trên Facebook và xem những gì được Console log lại:
Sau khi chạy mã độc, hàng loạt các truy vấn Ajax được gửi đi.
Có rất nhiều truy vấn tới các tệp follow_profile.php (mục đích để bạn theo dõi một người dùng khác); fan_status.php (Like một Fan Page) và like.php.
Kiểm soát thông qua Nhật ký hoạt động (Activity Log)
Để chắc chắn hơn hoặc trong trường hợp bạn không chuyên hoặc không biết dùng Console của trình duyệt thì bạn cũng hoàn toàn có thể kiểm tra Nhật ký hoạt động để biết đoạn mã độc kia đã làm những gì.
Từ Menu ở góc phải trên cùng Facebook, chọn Activity Log để kiểm tra Nhật ký hoạt động.
Dưới đây là những hình ảnh sau khi chạy đoạn mã độc “Vẽ chibi”:
Bạn sẽ bị ép Thích và Theo dõi những người, những page lạ mà bạn chẳng hề hay biết.
Ngoài ra, bạn còn bị ép Theo dõi những danh sách được tạo sẵn với mục đích “bán sub”, “trao đổi sub”:
Hàng trăm nghìn người dùng Facebook đã bị ép Theo dõi danh sách trên!
Gỡ bỏ tác hại từ mã độc “vẽ chibi”
Nếu chẳng may bạn bị dính mã độc – tức là đã chạy mã độc trên trình duyệt của mình, thì bạn có thể vào Nhật ký hoạt động, sau đó tìm những người dùng, Fan-page, danh sách để hủy theo dõi và hủy Like.
Trong quá trình giải mã (ở phần 1), mình có thấy một hàm thực hiện cài ứng dụng độc hại để lấy Access Token từ tài khoản của bạn, để chắc chắn bạn nên thực hiện đổi mật khẩu Facebook của mình. Access Token sẽ tự động hết hiệu lực khi người dùng đổi mật khẩu hoặc đăng xuất (tốt nhất nên đổi mật khẩu).
Hiện tại, mình đang hoàn thiện chương trình giúp bạn tự động gỡ bỏ mã độc này. Mình sẽ cập nhật trong thời gian sớm nhất. Nếu bạn vừa mới bị cài mã độc này hãy liên lạc trực tiếp với chúng tôi qua Facebook chúng tôi sẽ hỗ trợ bạn giải quyết vấn đề