Gusano: Sales en un video

Facebook está siendo bombardeado (si así se puede decir) especialmente en aquellas cuentas de idioma español por un gusano (a mi entender no es un virus, pero puedo estar equivocado) que se mueve de muro en muro invitando cada vez más amigos y contactos al sitio infestado. Como lo venimos diciendo siempre, estos gusanos, no son más que un fraude, un engaño al usuario… y lo único que buscan es expandirse. Crean una red de acciones (que por el interés o curiosidad de los usuarios) lamentablemente caen en estos sitios… en fin… veamos de qué se trata y qué debemos hacer para defendernos.

Actualmente el mensaje se expande de esta forma:

– Hola! (tu nombre de usuario) has visto que sales en un video??
– Como estas! (tu nombre de usuario) ya vistes que sales en un video??
– Que tal (tu nombre de usuario) sabes que sales en un video??

Y presenta una imagen, en formato de video, con un enlace a un sitio dentro de blogspot.com (dominio de google), y carece de descripción válida (la mayoría dice: «Dime que te parece».
Gusano o Virus? Sales en un video en Facebook ?

Estamos monitoreando Facebook para detectar más sitios que estén difundiendo este gusano… pero hasta el momento solo sabemos que existen los siguientes sitios que mencionaremos a continuación.

CUIDADO!

Entrar únicamente para reportar o comprender cómo funcionan los sitios infectados!

  • hosly22.blogspot.com Nombre: hosly22
  • gorth44.blogspot.com Nombre: blojj1
  • holk88.blogspot.com Nombre: holk88
  • guddp11.blogspot.com Nombre: guddp11
  • means2.blogspot.com Nombre: means1
  • bulyr22.blogspot.com Nombre: bulyr22
  • vulyt44.blogspot.com Nombre: vulyt44
  • fukity33.blogspot.com Nombre: fukity33
  • fukity22.blogspot.com Nombre: fukity22
  • means3.blogspot.com Nombre: means3
  • bulyr55.blogspot.com Nombre: bulyr55
  • gelko11.blogspot.com Nombre: gelko11
  • roter5.blogspot.com Nombre: roter5
  • vulyt55.blogspot.com Nombre: vulyt55
  • fukity44.blogspot.com Nombre: fukity44
  • gelko88.blogspot.com Nombre: gelko88
  • gelkh33.blogspot.com Nombre: gelkh33
  • rastar12.blogspot.com Nombre: rastar12
  • dutter11.blogspot.com Nombre: dutter11
  • poiuyt44.blogspot.com Nombre: poiuyt44
  • tytyty22.blogspot.com Nombre: bloyy5
  • goli11.blogspot.com Nombre: goli11
  • vulyt33.blogspot.com Nombre: vulyt33
  • bulyr44.blogspot.com Nombre: bulyr44
  • poiuyt33.blogspot.com Nombre: poiuyt33
  • floress22.blogspot.com Nombre: floress22
  • roter4.blogspot.com Nombre: roter4
  • gelkh44.blogspot.com Nombre: gelkh44
  • gelko33.blogspot.com Nombre: gelko33
  • hosly333.blogspot.com Nombre: hosly33
  • gelko22.blogspot.com Nombre: gelko22
  • hy6y6.blogspot.com Nombre: hy6y6
  • vulyt22.blogspot.com Nombre: vulyt22
  • roter2.blogspot.com Nombre: roter2
  • fukity55.blogspot.com Nombre: fukity55
  • floress11.blogspot.com Nombre: floress11
  • gorth11.blogspot.com Nombre: gorth11
  • gelko44.blogspot.com Nombre: gelko44
  • gelko55.blogspot.com Nombre: gelko55
  • tytyty33.blogspot.com Nombre: bloyy6
  • means55.blogspot.com Nombre: means55
  • means22.blogspot.com Nombre: means22
  • bloll7.blogspot.com Nombre: bloll7
  • holy22.blogspot.com Nombre: holy22
  • gelko77.blogspot.com Nombre: gelko77
  • dutter55.blogspot.com Nombre: dutter55
  • futtw33.blogspot.com Nombre: futtw33
  • guddp33.blogspot.com Nombre: guddp33
  • gelkh22.blogspot.com Nombre: gelkh22
  • roter1.blogspot.com Nombre: roter1
  • bulyr33.blogspot.com Nombre: bulyr33
  • julip99.blogspot.com Nombre: julip99
  • guddp44.blogspot.com Nombre: guddp44
  • hosly55.blogspot.com Nombre: hosly55
  • holk66.blogspot.com Nombre: holk66
  • foly22.blogspot.com Nombre: foly22
  • vulty11.blogspot.com Nombre: vulty11
  • fukity11.blogspot.com Nombre: fukity11
  • poiuyt11.blogspot.com Nombre: poiuyt11
  • futtw22.blogspot.com Nombre: futtw22
  • futtw55.blogspot.com Nombre: futtw55
  • julip33.blogspot.com Nombre: julip33
  • poiuyt55.blogspot.com Nombre: poiuyt55
  • goli33.blogspot.com Nombre: goli33
  • guddp22.blogspot.com Nombre: guddp22
  • tytyty11.blogspot.com Nombre: blojj2
  • means4.blogspot.com Nombre: means4
  • vulty22.blogspot.com Nombre: vulty22
  • rastar14.blogspot.com Nombre: rastar14
  • roter3.blogspot.com Nombre: roter3
  • julip22.blogspot.com Nombre: julip22
  • bloll8.blogspot.com Nombre: bloll8
  • dutter22.blogspot.com Nombre: dutter22
  • holk55.blogspot.com Nombre: holk55
  • bulyr11.blogspot.com Nombre: bulyr11
  • rastar13.blogspot.com Nombre: rastar13
  • vulyt11.blogspot.com Nombre: vulyt11
  • goli22.blogspot.com Nombre: goli22
  • gelkh11.blogspot.com Nombre: gelkh11
  • goli44.blogspot.com Nombre: goli44
  • vulty33.blogspot.com Nombre: vulty33
  • poiuyt22.blogspot.com Nombre: poiuyt22
  • foly333.blogspot.com Nombre: foly33
  • dutter33.blogspot.com Nombre: dutter33
  • hy6y7.blogspot.com Nombre: hy6y7
  • hosly44.blogspot.com Nombre: hosly44
  • tytyty44.blogspot.com Nombre: blouu7
  • julip88.blogspot.com Nombre: julip88
  • gorth33.blogspot.com Nombre: gh33
  • rastar15.blogspot.com Nombre: rastar15
  • gelko66.blogspot.com Nombre: gelko66
  • dutter44.blogspot.com Nombre: dutter44
  • foly44.blogspot.com Nombre: foly44
  • foly11.blogspot.com Nombre: foly11
  • holy11.blogspot.com Nombre: holy11
  • holk77.blogspot.com Nombre: holk77
  • rastar11.blogspot.com Nombre: rastar11

REPORTAR o DENUNCIAR estos sitios web

Blogger.com es propiedad de Google.com y es donde se alojan los dominios blogspot.com.
Lamentablemente para reportar el mal uso, tienen que ir por un formulario bastante complicado… y si los queremos reportar como virus o gusanos, o contenido peligroso, la opción está un poco compleja. Así que vamos a optar por reportarlos como SPAM, que es más simple:
http://support.google.com/blogger/bin/request.py?hl=es&contact_type=spam&rd=1
En ese enlace, veremos que nos pide el sitio a reportar, simplemente pegamos el dominio tal como lo hemos mencionado previamente y le damos «enviar».
Y listo… por lo menos cumplimos nuestra parte. Después el responsable de eliminar o no el contenido será la gente de Blogger.com

La imagen que veremos si llegamos a ingresar a alguno de los sitios web es la siguiente:
Plugin FALSO q se expande por Facebook

Tengan en cuenta, que simula estar dentro de Facebook, cuando es absolutamente FALSO. Estamos dentro de un sitio alojado en blogspot.com (que es blogger.com). Y nos pide instalar un plugin para ver el video, algo que tambien es absolutamente FALSO, ya que si queremos instalar el plugin, nos instala algo desde “vevideo.com.es” tal como mostramos:

plugin falso

NO debemos darle permiso para que nos descargue el software… ya que numerosas personas en Facebook están denunciando que es un virus que expande mensajes en nuestro muro de Facebook… por lo que logra la expansión total (o parcial) de los sitios web infectados (y no sabemos si causará daños a nuestra PC).
Nuestra investigación llegó hasta aquí, pero estaremos atentos a sitios especializados en seguridad informática para que nos aclaren si el “gusano” o “virus” que está expandiendo este sitio es maligno realmente (es decir que daña nuestra PC) o solo intenta expandirse por la red social.

He caído en el engaño, qué hago?

En el caso de que hayamos instalado el “plugin” falso, tenemos que:

  1. Si usamos Internet Explorer, aprender de una vez por todas que para navegar por Facebook es recomendado usar Chrome o Firefox. Si sois amantes de Internet Explorer, OK. Pero para Facebook instala Chrome o Firefox, que te protegerán mejor ante estos casos.
  2. Abre el apartado de extensiones de tu navegador web y busca «Youtube Extension». Luego, elimina esta extensión.
  3. Eliminar todos los archivos temporales y cookies.
  4. Reinicia tu navegador web.
  5. Listo.
Si aun así tus amigos te dicen que sigues enviando mensajes del video al muro, tendremos que:
  1. Actualiza tu antivirus (sea cual sea).
  2. Desconéctate de Internet. (SI!)
  3. Corre el antivirus… encontró algo? Elimínalo… 
  4. Si no lo usas aun, descarga CCleaner, y corre Ccleaner en tu equipo. Eliminará spyware y bichos raros que hayas descargado inconscientemente mientras navegas por la web. Borra el cache y los archivos temporales. 
  5. Reinicia la PC, vuelve a desconectarte de Internet.
    (La mayoría de las PC actuales, se reconectan a Internet solas cuando se reinicia el equipo).
  6. Con esto debería bastar… y no deberías seguir enviando mensajes a los muros de tus amigos.
Limpieza de tu Facebook:
  1. Recuerda limpia tu muro, empieza a borrar los mensajes que se publicaron “solos”.
  2. Por las dudas, ingresa a http://www.facebook.com/editapps.php y elimina si hay alguna aplicación rara que desconozcas o no entiendas para qué sirve.
  3. Vuelve a correr Ccleaner (cerrando todos los navegadores web abiertos).
  4. Borra el cache de tus navegadores web (lo deberías haber borrado con ccleaner, pero por las dudas lo aclaro aquí).
  5. Reinicia tu PC.
  6. Listo!
Si aun así… 
    Como lo dijimos anteriormente, no nos especializamos en virus. Desconocemos (porque no he probado instalarlo) si este plugin es o no un virus. Estamos esperando que sitios especializados en seguridad informática envíen sus informes sobre este tema.

    Más información:

    Para aquellos curiosos (como en mi caso), que quieren investigar el sitio vevideo.com.es, el mismo redirecciona automáticamente a una página llamada: servervideotube.com/?s=fb y nos pide permisos del ID de Windows Live (calculo que para hacer spam por mail).

    Credenciales de Windows Live para expandir virus ?
    Espero les sea útil toda la información y compartan con sus amigos todo esto.

    Actualización 12 de Diciembre:

    1. Nod32 detecta el/los sitios web que contienen este gusano como sitio peligroso y no te deja navegar por el mismo. Desconozco si otros antivirus están actuando igual que Nod32, por favor comentar si sobre el comportamiento de otros antivirus (gracias).
    2. He actualizado la lista de sitios de blogger… hasta el día que publiqué este artículo, eran aproximadamente 50 sitios… hoy, hay 94 sitios. Algunos fueron borrados por blogger.com (seguramente gracias a vuestras denuncias), pero los sitios siguen reproduciendose… y blogger.com NO responde cómo denunciar al autor (si quieres, puedes unirte a la «demanda» aquí).
    3. Con fines educativos, he encontrado el código que usa el atacante y lo comparto con ustedes:

      Por supuesto que el código fuente puede haber sido manipulado, y no ser exactamente el que usaron para crear estos sitios que infectan con el gusano, pero gran parte del script es este. Si se fijan bien, sale la foto que comparten por Facebook, y cómo lo hacen… 
    4. Agradecemos públicamente a aquellos usuarios que han compartido nuestro artículo a través de Internet: Menealo en meneame.net, a la gente de NetConsultingMarketing, a Segu-Info, a Zoomred, y a los demás usuarios que si bien se esconden en el anonimato brindan excelentes aportes… muchas gracias a todos! 

    Abrazos, MasFB.

    44 comentarios en “Gusano: Sales en un video

    1. Bueno, he caído hace como 2 días atrás. Espero alguna solución, ya reinstalé el firefox borrando mi perfil e instalando la última versión desde cero. Cambié mi contraseña de Facebook, en mis plugins de firefox no tengo nada de vevideo.com.es, espero que no siga este worm por aquí… espero más información que tengan, gracias por el artículo.

    2. LO MALO ES QUE ESTE VIDEO PIDE QUE INTRODUZCAS TU NUMERO DE MOVIL, Y ME ACABAN DE CONFIRMAR QUE SI LO PONES, TE TOMAN LA LINEA PARA HACER PAGOS POR PAYPAL… ¡¡OJO!! HAY QUE CONTACTAR CON LOS SERVIDORES DE TELEFONIA MOVIL Y COMUNICARLO, PUES DE LO CONTRÁRIO, LAS COMPRAS NAVIDEÑAS DE MUCHOS DESAPRENSIVOS IRÁN A CARGO DE TU FACTURA TELEFÓNICA.

    3. Yo pude denunciar estas páginas (no a todas, son muchísimas) en Blogger. Abrí el blog, arriba a la izquierda está la opción "Informar sobre mal uso", se abre una pestaña de Blogger donde debes optar por la opción "Creo que alguien está usando mi cuenta", allí en las opciones de la izquierda haces Click en "Software malintencionado, software espía y ventanas emergentes", luego haces click en "Informar de ello a Blogger", proporcionas la URL del blog en cuestión y la denuncias. No me pareció complicado, si a alguien le sirve…

    4. Gracias amigos anónimos por compartir sus pensamientos y agregar las paginas que siguen expandiendo este gusano…

      Recuerden que si tienen más dudas… o alguna página de dudosa procedencia, que les pida descargar algo, pueden venir aquí o aquí: http://foros.masfb.com/viewforum.php?f=24 para reportar (o preguntar sobre la misma).

      Saludos!!! y muchas gracias a todos por participar!
      No olviden sumarse a nuestra página de Facebook! (Facebook.com/MasFB)

    5. Hola, una vez que instalas el plugin te sale un campo de texto para meter tu movil que creo que es un servicio de suscripcion de alertas. Alguien sabe a quien pertenece para darlo de baja? alguno de mis contactos han metido su numero y no encuentro referencia a esto.
      Gracias, un saludo.

    6. Para comentario anterior: Por lo que he podido averiguar parece que la empresa es Froggie SL, y para darse de baja dicen que hay que enviar BAJA al mismo número del que llegan los mensajes.
      Saludos.

    7. yo no introduci ni el movil ni acepte plugin y uso firefox, pero publicó en mi nombre, en lugar de lo indicado en el blog, lo he puesto en conocimiento de la brigada de delitos informaticos https://www.gdt.guardiacivil.es/webgdt/home_alerta.php
      La suplantación de identidad es un delito y seguro que a ellos con un requerimiento judicial si que les facilitan las ips desde las que se ha accedido a mi cuenta hoy en facebook para que los procesen por lo penal

    8. Muchas gracias por la informacion mi cuenta de facebook esta infectado por este virus, gusano o como se llame que esta enviando en forma automatica un video pornografico a los contactos.

    9. Se detectan más sitios de blogger que tienen este gusano:

      soutube14.blogspot.com Celebridades al descubierto
      graci-oso.blogspot.com Videos Graciosos
      soutube11.blogspot.com Famosas Infraganti
      soutube19.blogspot.com Chismes de la farándula
      soutube10.blogspot.com Famosas youtube
      soutube3.blogspot.com Descuido Famosas
      soutube18.blogspot.com Chismes de la farándula
      soutube4.blogspot.com Famosas infraganti
      soutube7.blogspot.com Cotorreo Mundial
      soutube12.blogspot.com Famosas Indiscreto
      soutube13.blogspot.com Famos blog
      soutube9.blogspot.com Descuido Famoso
      soutube8.blogspot.com Chismorreo
      soutube17.blogspot.com Chismes de la farándul
      soutube2.blogspot.com Descuido Famosas
      soutube5.blogspot.com Video de Famosas
      soutube15.blogspot.com Todos al descubierto
      soutube16.blogspot.com Chismes de la farándula
      soutube1.blogspot.com Descuido Famosas
      soutube.blogspot.com Descuido Famosos
      soutube6.blogspot.com Grandiosos videos de famosos
      viverealmadridvsbarcelona.blogspot.com Vive el Real Madrid Vs Barcelona

    10. Muchas gracias por esto. Trabajo en Froggie, y, sin nuestro conocimiento ni consentimiento, este virus terminaba distribuyendo nuestras campañas, por lo menos en España, en los demás paises no se. Leyendo vuestro blog veo que de esto os diste cuenta y quería felicitaros por ello. En este sentido, os animo a avisar a la policia, ya lo hemos hecho nosotros mismos, pero cuantos más nos unimos a la denuncia, más rápido actuarán.

      Por otro lado, si hay cualquier afectado a quien se ha cobrado SMS (no los hemos enviado desde principios de la semana pasada cuando nos dimos cuenta de lo que pasaba, pero algunos ya habían salido antes) debeis contactar con vuestras operadoras de telefonía móvil, les hemos pasado los datos de todos los afectados, y saben que deben organizar las devoluciones.

    11. Un video de contenido porno fue enviado supuestamente x un contacto a FB. Lo eliminé inmediatamente de la página. Encuentro ahora q se instaló en Mis Documentos. No encuentro la manera de borrarlo o eliminarlo definitivamente. Pueden ayudarme sobre cómo hacerlo.Gracias.

    12. Lo he probado TODO y me continua saliendo la aplicación "Descuido de famosa" en mi facebook en favoritos (peliculas). No tengo instalada la extensión youtube en ningún navegador. Lo curioso es que desde otro ordenador también me sale esta aplicación cuando entro en facebook. En mis aplicaciones no sale, pero en favoritos sí. Estoy desesperado, a punto de anular mi cuenta. Agradecere una posible solución. Gracias de antemano.

    13. A quienes piden ayuda en los comentarios, les recomiendo pidan ayuda en el foro de MasFB, porque es muy complicado dar ayuda personalizada a traves de los comentarios.

      Pidan ayuda aquí.

      Están respondiendo. Tengan en cuenta que cada problema de ustedes es particular!

      Saludos!

    14. Anoche escribí en mi blog sobre esto mismo y esta mañana me ha comentado un Anónimo que también estáis tratando aquí el tema. La verdad que me ha gustado mucho, gracias a vosotros también por compartir esta información. =) [Por si le quieren echar un ojo: goo.gl/SgwtS]

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *