2017-08 Facebook Virus

This blog post will be in french since this malware mitigation is destinated for a specific group of people.

Suite à l’infection du compte Facebook de ma mère, je voulais faire un petit guide pour aider au nettoyage de ce virus. Notez bien deux choses. Premièrement, il est probable que votre infection n’est pas la même que nous avons rencontrée. L’écosystème des logiciels malveillants est très complexe, et ils peuvent vous avoir infecté d’une autre façon. C’est d’autant plus vrai si vous n’utilisez pas Chrome sur Windows. Ce guide ne pourra pas vous aider directement. Deuxièmement, nous n’avons plus le virus en question puisque nous l’avons supprimé. Ce guide a été recréé de mémoire avec du texte ajouté sur des captures d’écrans. Sur ces images, ne faites pas attention aux zones grises, qui sont là pour cacher des informations qui m’identifient.

Détection

Nous avons découvert deux symptômes pour savoir si vous êtes infectés. Premièrement, le bouton sous forme d’une petite flèche vers le bas a disparu. Celui-ci permet, entres autres, d’accéder aux paramètres du compte pour changer le mot de passe.

Ceci vous empêche de changer votre mot de passe. Il est toutefois possible de faire de changement en allant directement à cette URL:
https://www.facebook.com/settings?tab=account&section=password&view.
Je vous conseille fortement de le faire.

Le deuxième symptôme de ce logiciel malveillant est qu’il tente de vous empêcher de le supprimer. Ceci est fait en empêchant d’accéder à la page des Extensions. L’image suivante montre comment accéder à cette page.

Si lorsque vous cliquez sur “Extensions”, un onglet s’ouvre et se referme presque immédiatement, vous avez le même cas que nous avons eu alors ce guide vous sera utile.

Suppression

Vous devez ouvrir le gestionnaire de tâches de Chrome. Attention, ce n’est pas le même gestionnaire de tâche que Windows. L’image suivante montre comment accéder à celui de Chrome.

Le gestionnaire de tâches de Chrome vous montrera les pages ouvertes et les extensions en cours. Le virus est justement sous la forme d’une extension Chrome qui se nomme Dorma. Il est fort possible que l’extension malveillante a un autre nom. Vous n’avez pas le choix d’utiliser votre jugement pour le déterminer, possiblement en googlant les noms pour savoir s’ils sont légitimes.

Cliquez sur la ligne “Extension: Dorma” puis cliquez sur le bouton en bas à droite “Arrêter le processus”. Ceci va tuer l’exécution du logiciel malveillant. Il n’y a pas de mal à tuer l’éxecution d’un processus légitime, alors ne vous inquiétez pas pour ça.

La dernière étape est de le supprimer de votre navigateur Chrome. Pour ceci, naviguer à la page Extensions (celle que vous ne pouviez pas ouvrir avant d’avoir supprimé l’extension malveillante). La deuxième image de cette publication illustre comment ouvrir cette page. Une fois sur cette page, chercher Dorma dans la liste et cliquer sur l’icône de la corbeille.

Vous devriez ne plus avoir le logiciel malveillant. Pour être certain qu’il n’a pas infecté plus creux, changez votre mot de passe (si vous ne l’avez pas déjà fait) et lancez un scan d’antivirus. En plus de votre antivirus habituel, vous pourriez essayer l’antivirus conçu pour Chrome:
https://www.google.com/chrome/cleanup-tool/index.html
Je ne sais pas ce qu’il donne, mais on est jamais trop prudent.

Bonne chance!

Comments are closed, but trackbacks and pingbacks are open.