Gusano: Sales en un video

Facebook está siendo bombardeado (si así se puede decir) especialmente en aquellas cuentas de idioma español por un gusano (a mi entender no es un virus, pero puedo estar equivocado) que se mueve de muro en muro invitando cada vez más amigos y contactos al sitio infestado. Como lo venimos diciendo siempre, estos gusanos, no son más que un fraude, un engaño al usuario... y lo único que buscan es expandirse. Crean una red de acciones (que por el interés o curiosidad de los usuarios) lamentablemente caen en estos sitios... en fin... veamos de qué se trata y qué debemos hacer para defendernos.
Actualmente el mensaje se expande de esta forma:
- Hola! (tu nombre de usuario) has visto que sales en un video??
- Como estas! (tu nombre de usuario) ya vistes que sales en un video??
- Que tal (tu nombre de usuario) sabes que sales en un video??
Y presenta una imagen, en formato de video, con un enlace a un sitio dentro de blogspot.com (dominio de google), y carece de descripción válida (la mayoría dice: "Dime que te parece".
Gusano o Virus? Sales en un video en Facebook ?

Estamos monitoreando Facebook para detectar más sitios que estén difundiendo este gusano... pero hasta el momento solo sabemos que existen los siguientes sitios que mencionaremos a continuación.

CUIDADO!

Entrar únicamente para reportar o comprender cómo funcionan los sitios infectados!

  • hosly22.blogspot.com Nombre: hosly22
  • gorth44.blogspot.com Nombre: blojj1
  • holk88.blogspot.com Nombre: holk88
  • guddp11.blogspot.com Nombre: guddp11
  • means2.blogspot.com Nombre: means1
  • bulyr22.blogspot.com Nombre: bulyr22
  • vulyt44.blogspot.com Nombre: vulyt44
  • fukity33.blogspot.com Nombre: fukity33
  • fukity22.blogspot.com Nombre: fukity22
  • means3.blogspot.com Nombre: means3
  • bulyr55.blogspot.com Nombre: bulyr55
  • gelko11.blogspot.com Nombre: gelko11
  • roter5.blogspot.com Nombre: roter5
  • vulyt55.blogspot.com Nombre: vulyt55
  • fukity44.blogspot.com Nombre: fukity44
  • gelko88.blogspot.com Nombre: gelko88
  • gelkh33.blogspot.com Nombre: gelkh33
  • rastar12.blogspot.com Nombre: rastar12
  • dutter11.blogspot.com Nombre: dutter11
  • poiuyt44.blogspot.com Nombre: poiuyt44
  • tytyty22.blogspot.com Nombre: bloyy5
  • goli11.blogspot.com Nombre: goli11
  • vulyt33.blogspot.com Nombre: vulyt33
  • bulyr44.blogspot.com Nombre: bulyr44
  • poiuyt33.blogspot.com Nombre: poiuyt33
  • floress22.blogspot.com Nombre: floress22
  • roter4.blogspot.com Nombre: roter4
  • gelkh44.blogspot.com Nombre: gelkh44
  • gelko33.blogspot.com Nombre: gelko33
  • hosly333.blogspot.com Nombre: hosly33
  • gelko22.blogspot.com Nombre: gelko22
  • hy6y6.blogspot.com Nombre: hy6y6
  • vulyt22.blogspot.com Nombre: vulyt22
  • roter2.blogspot.com Nombre: roter2
  • fukity55.blogspot.com Nombre: fukity55
  • floress11.blogspot.com Nombre: floress11
  • gorth11.blogspot.com Nombre: gorth11
  • gelko44.blogspot.com Nombre: gelko44
  • gelko55.blogspot.com Nombre: gelko55
  • tytyty33.blogspot.com Nombre: bloyy6
  • means55.blogspot.com Nombre: means55
  • means22.blogspot.com Nombre: means22
  • bloll7.blogspot.com Nombre: bloll7
  • holy22.blogspot.com Nombre: holy22
  • gelko77.blogspot.com Nombre: gelko77
  • dutter55.blogspot.com Nombre: dutter55
  • futtw33.blogspot.com Nombre: futtw33
  • guddp33.blogspot.com Nombre: guddp33
  • gelkh22.blogspot.com Nombre: gelkh22
  • roter1.blogspot.com Nombre: roter1
  • bulyr33.blogspot.com Nombre: bulyr33
  • julip99.blogspot.com Nombre: julip99
  • guddp44.blogspot.com Nombre: guddp44
  • hosly55.blogspot.com Nombre: hosly55
  • holk66.blogspot.com Nombre: holk66
  • foly22.blogspot.com Nombre: foly22
  • vulty11.blogspot.com Nombre: vulty11
  • fukity11.blogspot.com Nombre: fukity11
  • poiuyt11.blogspot.com Nombre: poiuyt11
  • futtw22.blogspot.com Nombre: futtw22
  • futtw55.blogspot.com Nombre: futtw55
  • julip33.blogspot.com Nombre: julip33
  • poiuyt55.blogspot.com Nombre: poiuyt55
  • goli33.blogspot.com Nombre: goli33
  • guddp22.blogspot.com Nombre: guddp22
  • tytyty11.blogspot.com Nombre: blojj2
  • means4.blogspot.com Nombre: means4
  • vulty22.blogspot.com Nombre: vulty22
  • rastar14.blogspot.com Nombre: rastar14
  • roter3.blogspot.com Nombre: roter3
  • julip22.blogspot.com Nombre: julip22
  • bloll8.blogspot.com Nombre: bloll8
  • dutter22.blogspot.com Nombre: dutter22
  • holk55.blogspot.com Nombre: holk55
  • bulyr11.blogspot.com Nombre: bulyr11
  • rastar13.blogspot.com Nombre: rastar13
  • vulyt11.blogspot.com Nombre: vulyt11
  • goli22.blogspot.com Nombre: goli22
  • gelkh11.blogspot.com Nombre: gelkh11
  • goli44.blogspot.com Nombre: goli44
  • vulty33.blogspot.com Nombre: vulty33
  • poiuyt22.blogspot.com Nombre: poiuyt22
  • foly333.blogspot.com Nombre: foly33
  • dutter33.blogspot.com Nombre: dutter33
  • hy6y7.blogspot.com Nombre: hy6y7
  • hosly44.blogspot.com Nombre: hosly44
  • tytyty44.blogspot.com Nombre: blouu7
  • julip88.blogspot.com Nombre: julip88
  • gorth33.blogspot.com Nombre: gh33
  • rastar15.blogspot.com Nombre: rastar15
  • gelko66.blogspot.com Nombre: gelko66
  • dutter44.blogspot.com Nombre: dutter44
  • foly44.blogspot.com Nombre: foly44
  • foly11.blogspot.com Nombre: foly11
  • holy11.blogspot.com Nombre: holy11
  • holk77.blogspot.com Nombre: holk77
  • rastar11.blogspot.com Nombre: rastar11

REPORTAR o DENUNCIAR estos sitios web

Blogger.com es propiedad de Google.com y es donde se alojan los dominios blogspot.com.
Lamentablemente para reportar el mal uso, tienen que ir por un formulario bastante complicado... y si los queremos reportar como virus o gusanos, o contenido peligroso, la opción está un poco compleja. Así que vamos a optar por reportarlos como SPAM, que es más simple:
http://support.google.com/blogger/bin/request.py?hl=es&contact_type=spam&rd=1
En ese enlace, veremos que nos pide el sitio a reportar, simplemente pegamos el dominio tal como lo hemos mencionado previamente y le damos "enviar".
Y listo... por lo menos cumplimos nuestra parte. Después el responsable de eliminar o no el contenido será la gente de Blogger.com

La imagen que veremos si llegamos a ingresar a alguno de los sitios web es la siguiente:
Plugin FALSO q se expande por Facebook
Tengan en cuenta, que simula estar dentro de Facebook, cuando es absolutamente FALSO. Estamos dentro de un sitio alojado en blogspot.com (que es blogger.com). Y nos pide instalar un plugin para ver el video, algo que tambien es absolutamente FALSO, ya que si queremos instalar el plugin, nos instala algo desde “vevideo.com.es” tal como mostramos:
plugin falso
NO debemos darle permiso para que nos descargue el software… ya que numerosas personas en Facebook están denunciando que es un virus que expande mensajes en nuestro muro de Facebook… por lo que logra la expansión total (o parcial) de los sitios web infectados (y no sabemos si causará daños a nuestra PC).
Nuestra investigación llegó hasta aquí, pero estaremos atentos a sitios especializados en seguridad informática para que nos aclaren si el “gusano” o “virus” que está expandiendo este sitio es maligno realmente (es decir que daña nuestra PC) o solo intenta expandirse por la red social.

He caído en el engaño, qué hago?

En el caso de que hayamos instalado el “plugin” falso, tenemos que:
  1. Si usamos Internet Explorer, aprender de una vez por todas que para navegar por Facebook es recomendado usar Chrome o Firefox. Si sois amantes de Internet Explorer, OK. Pero para Facebook instala Chrome o Firefox, que te protegerán mejor ante estos casos.
  2. Abre el apartado de extensiones de tu navegador web y busca "Youtube Extension". Luego, elimina esta extensión.
  3. Eliminar todos los archivos temporales y cookies.
  4. Reinicia tu navegador web.
  5. Listo.
Si aun así tus amigos te dicen que sigues enviando mensajes del video al muro, tendremos que:
  1. Actualiza tu antivirus (sea cual sea).
  2. Desconéctate de Internet. (SI!)
  3. Corre el antivirus… encontró algo? Elimínalo… 
  4. Si no lo usas aun, descarga CCleaner, y corre Ccleaner en tu equipo. Eliminará spyware y bichos raros que hayas descargado inconscientemente mientras navegas por la web. Borra el cache y los archivos temporales. 
  5. Reinicia la PC, vuelve a desconectarte de Internet.
    (La mayoría de las PC actuales, se reconectan a Internet solas cuando se reinicia el equipo).
  6. Con esto debería bastar... y no deberías seguir enviando mensajes a los muros de tus amigos.
Limpieza de tu Facebook:
  1. Recuerda limpia tu muro, empieza a borrar los mensajes que se publicaron “solos”.
  2. Por las dudas, ingresa a http://www.facebook.com/editapps.php y elimina si hay alguna aplicación rara que desconozcas o no entiendas para qué sirve.
  3. Vuelve a correr Ccleaner (cerrando todos los navegadores web abiertos).
  4. Borra el cache de tus navegadores web (lo deberías haber borrado con ccleaner, pero por las dudas lo aclaro aquí).
  5. Reinicia tu PC.
  6. Listo!
Si aun así... 
Como lo dijimos anteriormente, no nos especializamos en virus. Desconocemos (porque no he probado instalarlo) si este plugin es o no un virus. Estamos esperando que sitios especializados en seguridad informática envíen sus informes sobre este tema.

Más información:

Para aquellos curiosos (como en mi caso), que quieren investigar el sitio vevideo.com.es, el mismo redirecciona automáticamente a una página llamada: servervideotube.com/?s=fb y nos pide permisos del ID de Windows Live (calculo que para hacer spam por mail).
Credenciales de Windows Live para expandir virus ?
Espero les sea útil toda la información y compartan con sus amigos todo esto.


Actualización 12 de Diciembre:

  1. Nod32 detecta el/los sitios web que contienen este gusano como sitio peligroso y no te deja navegar por el mismo. Desconozco si otros antivirus están actuando igual que Nod32, por favor comentar si sobre el comportamiento de otros antivirus (gracias).
  2. He actualizado la lista de sitios de blogger... hasta el día que publiqué este artículo, eran aproximadamente 50 sitios... hoy, hay 94 sitios. Algunos fueron borrados por blogger.com (seguramente gracias a vuestras denuncias), pero los sitios siguen reproduciendose... y blogger.com NO responde cómo denunciar al autor (si quieres, puedes unirte a la "demanda" aquí).
  3. Con fines educativos, he encontrado el código que usa el atacante y lo comparto con ustedes:

    Por supuesto que el código fuente puede haber sido manipulado, y no ser exactamente el que usaron para crear estos sitios que infectan con el gusano, pero gran parte del script es este. Si se fijan bien, sale la foto que comparten por Facebook, y cómo lo hacen... 
  4. Agradecemos públicamente a aquellos usuarios que han compartido nuestro artículo a través de Internet: Menealo en meneame.net, a la gente de NetConsultingMarketing, a Segu-Info, a Zoomred, y a los demás usuarios que si bien se esconden en el anonimato brindan excelentes aportes... muchas gracias a todos! 


Abrazos, MasFB.

"Más Facebook", o MasFB es un equipo conformado por usuarios de varios países.
La misión de MasFB es ayudar a otros brindando información sobre el correcto uso de las redes sociales.

44 comentarios

avatar
Rta

Excelente!!!
Muy buen trabajo y muy buen informe MasFB.
De inmediato compartiré y expandiré tu informe.
Un caluroso abrazo.
Hasta pronto.
Maiky.

avatar
Rta

Bueno, he caído hace como 2 días atrás. Espero alguna solución, ya reinstalé el firefox borrando mi perfil e instalando la última versión desde cero. Cambié mi contraseña de Facebook, en mis plugins de firefox no tengo nada de vevideo.com.es, espero que no siga este worm por aquí... espero más información que tengan, gracias por el artículo.

avatar
Rta

Hola Rox, fijate en "Herramientas" --> "Opciones" --> Extensiones y si tienes algo de Youtube elimínalo.

Lo tienes?

avatar
Rta

LO MALO ES QUE ESTE VIDEO PIDE QUE INTRODUZCAS TU NUMERO DE MOVIL, Y ME ACABAN DE CONFIRMAR QUE SI LO PONES, TE TOMAN LA LINEA PARA HACER PAGOS POR PAYPAL... ¡¡OJO!! HAY QUE CONTACTAR CON LOS SERVIDORES DE TELEFONIA MOVIL Y COMUNICARLO, PUES DE LO CONTRÁRIO, LAS COMPRAS NAVIDEÑAS DE MUCHOS DESAPRENSIVOS IRÁN A CARGO DE TU FACTURA TELEFÓNICA.

avatar
Rta

Acabo de compartirlo en FB. Me parece un trabajo excelente. Muchas gracias!!!!

avatar
Rta

Yo pude denunciar estas páginas (no a todas, son muchísimas) en Blogger. Abrí el blog, arriba a la izquierda está la opción "Informar sobre mal uso", se abre una pestaña de Blogger donde debes optar por la opción "Creo que alguien está usando mi cuenta", allí en las opciones de la izquierda haces Click en "Software malintencionado, software espía y ventanas emergentes", luego haces click en "Informar de ello a Blogger", proporcionas la URL del blog en cuestión y la denuncias. No me pareció complicado, si a alguien le sirve...

avatar
Rta

Muchas gracias por tu ayuda! Un saludo! :)

avatar
Rta

También redirijen al sitio floress11.blogspot.com (me acaba de llegar...)

avatar
Rta

CUAL ES EL URL DEL BLOG EN CUESTION?

avatar
Rta

Gracias esta mensaje es una verdadera ayuda, sigan protegiendo a los que como yo sabemos poco de estas perversidades.

avatar
Rta

TAMBIEN A fukity44.blogspot.com

avatar
Rta

HOLA, UNO LLAMA AMIGO SOLO A AQUEL QUE TE ENSEÑA LO QUE SABES SIN EGOÍSMOS. GRACIAS, GRACIAS, GRACIAS. UN ABRAZO

avatar
Rta

Gracias amigos anónimos por compartir sus pensamientos y agregar las paginas que siguen expandiendo este gusano...

Recuerden que si tienen más dudas... o alguna página de dudosa procedencia, que les pida descargar algo, pueden venir aquí o aquí: http://foros.masfb.com/viewforum.php?f=24 para reportar (o preguntar sobre la misma).

Saludos!!! y muchas gracias a todos por participar!
No olviden sumarse a nuestra página de Facebook! (Facebook.com/MasFB)

avatar
Rta

Te he enviado el articulo a Meneame. Gracias

avatar
Rta

Excelente la información...
Gracias por subirlo a meneame!

avatar
Rta

muchas gracias por tu aportacion, muy util

saludos

avatar
Rta

aderf8.blogspot.com

avatar
Rta

Gracias! Me ha sido de mucha utilidad!

avatar
Rta

hola a todos, buscando el registro de la web: servervideotube.com | he encontrado esto:

avatar
Rta

Registrant:
Higuain Gonzalo
servervideotube.com, office #3905095
c/o OwO, BP80157
59053, Roubaix Cedex 1
FR
+33.899701761
h4ufuy68q3su9vi7w8ss@j.o-w-o.info

avatar
Rta

Por otro lado, he puesto esto en google:" site:servervideotube.com " y me sale este resultado...jejeje

http://www.servervideotube.com/greybox

Entrar y vereis ;)

avatar
Rta

seguimos? jejeje.... siiii

Ahora buscando en el archivo POST nos aparece su email:

teodorochaffin@yahoo.com
------------------------------
Entrar en esta página:
http://servervideotube.com/hot.php
y mirar el codigo html, buscar el email yahoo y vereis.

avatar
Rta

GRACIAS ME AYUDO! YA ME ESTABAN PUTIANDO MUCHOS AMIGOS

avatar
Rta

Hola, una vez que instalas el plugin te sale un campo de texto para meter tu movil que creo que es un servicio de suscripcion de alertas. Alguien sabe a quien pertenece para darlo de baja? alguno de mis contactos han metido su numero y no encuentro referencia a esto.
Gracias, un saludo.

avatar
Rta

Para comentario anterior: Por lo que he podido averiguar parece que la empresa es Froggie SL, y para darse de baja dicen que hay que enviar BAJA al mismo número del que llegan los mensajes.
Saludos.

avatar
Rta

yo no introduci ni el movil ni acepte plugin y uso firefox, pero publicó en mi nombre, en lugar de lo indicado en el blog, lo he puesto en conocimiento de la brigada de delitos informaticos https://www.gdt.guardiacivil.es/webgdt/home_alerta.php
La suplantación de identidad es un delito y seguro que a ellos con un requerimiento judicial si que les facilitan las ips desde las que se ha accedido a mi cuenta hoy en facebook para que los procesen por lo penal

avatar
Rta

Muchas gracias por la mención. Saludos:)

avatar
Rta

Anoche escribí en mi blog sobre esto mismo y esta mañana me ha comentado un Anónimo que también estáis tratando aquí el tema. La verdad que me ha gustado mucho, gracias a vosotros también por compartir esta información. =) [Por si le quieren echar un ojo: goo.gl/SgwtS]

avatar
Rta

Muchas gracias por la informacion mi cuenta de facebook esta infectado por este virus, gusano o como se llame que esta enviando en forma automatica un video pornografico a los contactos.

avatar
Rta

Hola los saludo excelente por eliminar este video horrible que me a tocado pasar momentos muy malos DIOS los bendiga

avatar
Rta

MUCHISIMAS GRACIAS POR TODOS LOS DATOS QUE NOS ENVIAN!!!!!SALUDOS.

avatar
Rta

Se detectan más sitios de blogger que tienen este gusano:

soutube14.blogspot.com Celebridades al descubierto
graci-oso.blogspot.com Videos Graciosos
soutube11.blogspot.com Famosas Infraganti
soutube19.blogspot.com Chismes de la farándula
soutube10.blogspot.com Famosas youtube
soutube3.blogspot.com Descuido Famosas
soutube18.blogspot.com Chismes de la farándula
soutube4.blogspot.com Famosas infraganti
soutube7.blogspot.com Cotorreo Mundial
soutube12.blogspot.com Famosas Indiscreto
soutube13.blogspot.com Famos blog
soutube9.blogspot.com Descuido Famoso
soutube8.blogspot.com Chismorreo
soutube17.blogspot.com Chismes de la farándul
soutube2.blogspot.com Descuido Famosas
soutube5.blogspot.com Video de Famosas
soutube15.blogspot.com Todos al descubierto
soutube16.blogspot.com Chismes de la farándula
soutube1.blogspot.com Descuido Famosas
soutube.blogspot.com Descuido Famosos
soutube6.blogspot.com Grandiosos videos de famosos
viverealmadridvsbarcelona.blogspot.com Vive el Real Madrid Vs Barcelona

avatar
Rta

http://www.facebook.com/l.php?u=http%3A%2F%2Ffamosos-des-des-36.blogspot.com%2F&h=GAQFOQlpmAQFp1S55Vs92g3IfeKnSGQ-QHy3sbD8cbqs9Tg

avatar
Rta

Muchas gracias por esto. Trabajo en Froggie, y, sin nuestro conocimiento ni consentimiento, este virus terminaba distribuyendo nuestras campañas, por lo menos en España, en los demás paises no se. Leyendo vuestro blog veo que de esto os diste cuenta y quería felicitaros por ello. En este sentido, os animo a avisar a la policia, ya lo hemos hecho nosotros mismos, pero cuantos más nos unimos a la denuncia, más rápido actuarán.

Por otro lado, si hay cualquier afectado a quien se ha cobrado SMS (no los hemos enviado desde principios de la semana pasada cuando nos dimos cuenta de lo que pasaba, pero algunos ya habían salido antes) debeis contactar con vuestras operadoras de telefonía móvil, les hemos pasado los datos de todos los afectados, y saben que deben organizar las devoluciones.

avatar
Rta

exelente informe....ya lo reemvie a mis conocidos

avatar
Rta

Pues yo de tonta cai, introduje mi numero de móvil y ahora todo el tiempo me llegan mnsjs con chistes y bobadas...no se que hacer para que pare.

avatar
Rta

Este es otro sitio que hace lo mismo!
http://mirando-videos.blogspot.com/

avatar
Rta

Un video de contenido porno fue enviado supuestamente x un contacto a FB. Lo eliminé inmediatamente de la página. Encuentro ahora q se instaló en Mis Documentos. No encuentro la manera de borrarlo o eliminarlo definitivamente. Pueden ayudarme sobre cómo hacerlo.Gracias.

avatar
Rta

Al anónimo que dice que tiene un video en sus documentos, por favor que escriba detalladamente su problema aquí: Foro de Soporte Técnico

Saludos

avatar
Rta

como hago para eliminar el virus que está en el muro de un amigo?

avatar
Rta

Lo he probado TODO y me continua saliendo la aplicación "Descuido de famosa" en mi facebook en favoritos (peliculas). No tengo instalada la extensión youtube en ningún navegador. Lo curioso es que desde otro ordenador también me sale esta aplicación cuando entro en facebook. En mis aplicaciones no sale, pero en favoritos sí. Estoy desesperado, a punto de anular mi cuenta. Agradecere una posible solución. Gracias de antemano.

avatar
Rta

A quienes piden ayuda en los comentarios, les recomiendo pidan ayuda en el foro de MasFB, porque es muy complicado dar ayuda personalizada a traves de los comentarios.

Pidan ayuda aquí.

Están respondiendo. Tengan en cuenta que cada problema de ustedes es particular!

Saludos!

avatar
Rta

Wow, muy buena informacion, yo ya me registre en la
facebook peruano,
Saludos

Nota Importante: Si necesitas ayuda rápida de forma más detallada, estamos respondiendo en nuestros Foros de Ayuda Facebook.
EmoticonEmoticon