En orm spreder sig i disse dage på Facebook. Den opnår sin effekt ved at sende chat beskeder med indhold fra en inficeret maskine til alle de personer, som du er venner med på Facebook. Derved opnår den en viral effekt.
Den lokker med indhold som f.eks. "V1DEO-[4 vilkårlige cifre].html. Som det fremgår er der tale om en ordinær HTML fil, men med en indlejret script, som ved et klik, flytter brugeren til en webside hostet i skyen hos Amazon og som ligner en Youtube side (saniteret af CSIS)
<frameset rows="100%">
<frame src="https://s3-eu-west-1.amazonaws[.]com/video47543/red.html">
<noframes>
<body></body>
</noframes>
</frameset>
Den pågældende webside "red.html" består af et lettere obfuseret javascript, som i deobfuskeret form, ser ud som følgende (saniteret af CSIS) 
Oversat til dansk betyder det at javacriptet vil bestemme hvilken browser der anvendes. Hvis der anvendes enten Firefox eller Chrome vil du blive tilbudt en browser udvidelse kaldet "45to75". Det er denne del af koden, som skal accepteres af ofret (se nedenstående skærmdump) og hvis det sker, vil den installeres i browseren og starte sin spredning til andre ofre. Den pågældende kode er skrevet i en kombination mellem HTML, JavaScript og CSS. Det er klassisk for browere udvidelser.
Heldigvis kan dette utøj relativt nemt fjernes fra maskinen igen. Det sker ved at åbne browseren i fejlsikret tilstand og manøvrere til extensions/udvidelser og her manuelt slette udvidelsen. Det er ved samme lejlighed en god ide at skifte password til Facebook.
Vi har blokeret domænerne i CSIS Secure DNS og Heimdal PRO/corporate, hvorved vi bremser spredningen af dette uønskede orm.
Som et tillæg udspringer en del af denne uønskede aktivitet fra en server hostet hos OVH i Frankring (saniteret af CSIS) 5.196[.]91.128. Et lille udsnit af domæner, som man med fordel kan blokere hvis man ikke anvender CSIS Secure DNS, omfatter bl.a. (saniteret af CSIS)
labuneamkxxssdwss[.]xyz
kfkejerndjk[.]xyz
dayesaseha[.]xyz
cukdermndnsss[.]info
sigaramindumanisen[.]com
lanadamimeklentisi[.]info
Flere antivirus leverandører kalder denne orm for "JS.Trojan.Kilim" men detektion er desværre lav (3/56):
https://virustotal.com/en/file/772ff3b7ac3a2f1fdb36a9c6b46b9f6235e28f435db8f943146b5c4ad0cf2fa9/analysis/1461223355/